会话securecrt使用

securecrt使用  时间:2021-04-02  阅读:()
FortiGate排错工具版本1.
0时间2013年7月支持的版本FortiOSv5.
0.
x状态已审核反馈support_cn@fortinet.
com目录简介.
3FortiOS诊断.
3FortiGate端口30FortiAnalyzer/FortiManager端口.
31FortiGuard排错.
32简介FortiOS提供了一系列用来排查软硬件故障的工具.
这些工具包含诊断和端口;当你需要查看在某个具体应用的进出流量时就会用到端口,例如,UDP53端口就是FortiGate用来做DNS和RBL查询的端口.
FortiOS诊断FortiOS中的许多诊断命令都可以用来排查故障和监控系统状态.
在CLI命令行中主要有两组命令集,get和diagnose.
这两组命令集可以显示系统信息,连接状态和相关配置,这些信息可以帮助锁定和排除故障,监控系统状态.
一个例外的命令是exectacreport.
这个执行命令会启动许多diagnose命令.
它会检查许多功能,例如HA,VPN.
命令输出的结果需要几分钟才能全部显示完成.
可以将这些结果记录到文本文档中,以便查看并熟悉相关命令.
当您致电飞塔技术支持中心时,您会被要求提供您使用设备的相关信息,同时使用诊断命令输出的相关信息.
检查日期和时间系统日期和时间对于FortiGuard服务,记录日志和发送报警信息都非常重要.
错误的时间设置会让日志不能被准确理解和使用.
尽量使用网络时间协议(NTP)设置日期和时间.
这是一种自动时间更新方式,不需要手工干预.
您需要确定NTP使用的端口不被上游设备阻断.
在许多情况下FortiToken同步都需要NTP.
如何查看日期和时间—web管理方式1,在系统管理—面板—status菜单下,查看系统信息窗口其中有一行系统日期显示了当前的日期和时间.
对应的CLI命令是executedate和executetime2,点击更改按钮可以修改日期和时间参数在命令行中修改时区和NTP设置的参数如下configsystemglobalsettimezone55中国时区,用替代命令中的55可以显示时区列表)endconfigsystemntpconfigntpserveredit1setserver"ntp1.
fortinet.
net"nextedit2setserver"ntp2.
fortinet.
net"nextendsetntpsyncenablesetsyncinterval60end系统资源使用电脑中每个运行的程序都会有一个或多个进程.
例如打开一个telnet程序,会对应启动一个相关的进程.
FortiOS也是如此.
所有进程都会共享FortiOS的内存和CPU资源.
使用如下命令可以查看CPU/内存被进程占用的情况;getsystemperformancetop输出的信息包含进程名称,进程ID,进程是休眠还是运行状态;CPU/内存使用比例.
如何排查高内存使用情况FortiOS的系统资源是有限的.
所有运行的进程都会占用内存.
根据负载的大小每个进程都会使用更多或更少的内存,通常高流量会消耗更多内存.
如果某些进程占用了所有可用内存,其他进程将因无内存可用而失效.
当内存占用高时,您会觉得连接丢失或新建连接被拒绝.
如果您看到系统资源中内存的使用量很高,可能是防火墙正在处理高流量.
如果防火墙的某个代理功能正在处理高流量,有可能该代理功能会使用过量的链接资源.
当该代理功能可使用的资源到达0时,问题就发生了.
使用如下的命令可以让防火墙针对杀毒功能的连接资源做优化,设置为idledrop后会丢弃拥有最多连接数client的连接.
configsystemglobalsetav_failopenidledropend使用如下命令可以查看当前内存的使用情况diagnosehardwaresysinfomemory输出信息如下:total:used:free:shared:buffers:cached:shm:Mem:20741857287569367041317249024020701184194555904161046528Swap:000MemTotal:2025572kBMemFree:1286376kBMemShared:0kBBuffers:20216kBCached:189996kBSwapCached:0kBActive:56644kBInactive:153648kBHighTotal:0kBHighFree:0kBLowTotal:2025572kBLowFree:1286376kBSwapTotal:0kBSwapFree:0kB如何排查高CPU使用情况FortiOS有许多功能,当大部分功能在同一时刻使用时,CPU资源会迅速耗尽.
当这种情况发生时,您会发现防火墙不会处理新的请求,或则有更糟糕的情况发生.
对CPU敏感的功能有,使用高级别的VPN加密,UTM功能全开,记录所有流量日志,系统状态中的面板不停的刷新.
1,查看CPU使用情况有两个方法.
简单的是在系统管理—面板—状态中查看系统资源的使用情况.
当指针在红色区域时就需要采取行动了.
另一个方法是输入命令diagsystop举例输出:RunTime:13days,13hoursand58minutes0U,0S,98I;123T,25F,32KFnewcli903R0.
55.
5sshd901S0.
54.
0输出第二行的意思如下:U是用户应用占用CPU百分比.
0U意味着用户应用占用CPU百分之零.
S是系统进程占用CPU百分比.
0S意味着系统进程占用CPU百分之零.
I是CPU空闲百分比.
98I表示CPU百分之九十八空闲.
T是系统内存总数(Mb).
123T表示系统有123Mb内存.
F是空闲内存(Mb).
25F表示有25Mb内存空闲.
KF是共享内存页面.
32KF表示系统使用32K共享内存页面.
第二行以下的每一行表示一个单独的进程,第三行的输出是:newcli903R0.
55.
5newcli是进程名称.
903是进程ID.
R是当前进程状态.
进程有几种状态:R运行;S休眠;Z僵死;D磁盘休眠.
0.
5是该进程占用CPU的百分比.
5.
5是该进程占用内存的百分比.
当使用命令diagsystop时,可以输入以下几个键值输入q键可以退出输入p键按CPU使用情况从高到低排列输入m键按内存使用情况从高到低排列2.
查看哪些进程使用了最多的CPU资源通过diagsystop命令可以查看占用系统资源多的进程名称,一些进程名称解释如下:Ipsengine‐‐‐‐IPS引擎Scanunitd‐‐‐‐杀毒引擎Httpsd‐‐‐‐安全的httpIked‐‐‐‐IPSecVPN中使用的IKENewcli‐‐‐‐使用的cli(命令行)Sshd‐‐‐‐ssh进程Cmdbsrv‐‐‐‐命令数据库服务器应用3.
检查无用的CPU"浪费"即时目前的CPU使用正常,也可以尝试优化CPU的使用情况.
使用NP硬件加速可以减轻CPU的压力,NP硬件可以用于VPN中的加密工作.
尽量避免使用系统—面板中的某些组件,例如会话排行榜.
这些组件会频繁使用CPU和其他资源.
在系统空闲的状态下升级杀毒库,IPS库和软件版本.
这些操作不会占用太多CPU,但会打断系统的正常工作状态.
查看日志告警级别和日志设置.
去掉不必要的日志类别,适当的调高告警级别.
尽量使用syslog记录日志.
使用内存记录日志会消耗内存资源;使用硬盘记录日志会降低系统整体的性能.
尽量不记录数据包日志.
不用命令行的抓包和trace操作.
降低会话等待时间.
使用如下命令可以降低tcp/udp会话等待时间,从而减少系统资源占用.
tcp‐timewait‐timer默认会被系统加上10秒configsystemglobalsettcp‐halfclose‐timer30settcp‐halfopen‐timer30settcp‐timewait‐timer0setudp‐idle‐timer60end删除dns‐udpsession‐helper,具体操作如下configsystemsession‐helperdelete14end4.
当CPU的使用率在可控范围内,使用SNMP监控CPU使用率.
您应该使用SNMP监视CPU的使用情况.
SNMP可以监视FortiOS的许多参数,而且可以发出告警信息.
可以在电脑上安装SNMP软件.
在系统管理—配置—SNMP中可以启用该功能,同时配置一个SNMP团体.
系统应用进程使用如下命令监视应用进程:diagtestapplication这个application可以是以下表中的内容acd汇聚控制器ddnscdDDNS客户端进程dhcp6cDHCP6客户端.
进程dhcprelayDHCP转发进程dlpfingerprintDLP指纹进程dlpfpcacheDLP指纹缓存进程dnsproxyDNS代理dsdDLP状态进程.
forticlddFortiCloud进程forticronForticron进程fsdFortiExplorer进程ftpdFTP代理harelayHA转发进程httpHTTP代理imapIMAP代理.
info-sslvpndSSL-VPN进程ipldbdIPloadbalancing进程ipsengineips传感器ipsmonitorips监视器ipsufdIPSurlfilter进程l2tpcdL2TP客户端进程.
ltedUSBLTE进程miglogdMigloglogging进程nat64dNAT64进程nntpNNTP代理pop3POP3代理pptpcdPPTP客户端proxyacceptorProxyacceptor.
proxyworkerProxyworker.
quarantinedQuarantine进程radiusdRADIUS进程reportdReport进程reputationClientreputation进程scanunitScanningunit.
sflowdsFlow进程smtpSMTP代理snmpdSNMP进程sqldbSQL数据库进程sshSSH代理sslacceptorSSL代理sslworkerSSL代理swctrl_authdSwitchcontroller认证进程uploaddUpload进程urlfilterURL过滤jinc.
wa_csWANoptimizationcs服务器wa_dbdWANoptimization存储服务器wadWANoptimization代理wad_diskdWANoptimization磁盘读写进程wccpdWCCP进程wpadWPA进程这个option值根据具体的application而不同.
例如:如果application是http,命令就是diagtestapplicationhttp这时的option值可以参考下表2丢弃所有连接22丢弃最大空闲连接222丢弃所有空闲连接4显示连接状态44显示每个连接的信息444显示每个连接的状态4444显示每个虚拟域的状态44444显示空闲连接信息55显示每个连接的tcp信息6显示ICAP信息70禁用ICAP'Allow:204'(默认)71启用ICAP'Allow:204'72丢弃所有ICAP服务器连接11显示SSL会话ID缓存信息状态12清除SSL会话ID缓存信息状态13显示SSL会话ID缓存信息14清除SSL会话ID缓存信息80显示FortinetbarSSL-VPN书签信息81显示FortinetbarSSL-VPN书签缓存82显示FortinetbarSSL-VPN书签LRU列表如果application是ipsmonitor,命令就是diagtestapplicationipsmonitor这时的option值可以参考下表1显示IPS引擎信息2触发IPS引擎开启/关闭状态3显示重启日志4清除重启日志5触发bypass状态6提交攻击特征值10IPS队列长度11清除IPS队列长度12IPSL7socket状态13IPS会话列表14IPSNTurbo状态15IPSA状态97启用所有IPS引擎98停止所有IPS引擎99重启所有IPS引擎和监视器硬件故障排查使用如下命令查看网络接口信息diaghardwaredeviceinfonic这个名利显示的信息很有用,因为error值可以说明该接口可能在物理层或链路层出现了问题,例如:diaghardwaredeviceinfonicport5System_Device_Nameport5Current_HWaddr00:09:0f:68:35:60Permanent_HWaddr00:09:0f:68:35:60LinkupSpeed100Duplexfull[……]Rx_Packets=5685708Tx_Packets=4107073Rx_Bytes=617908014Tx_Bytes=1269751248Rx_Errors=0Tx_Errors=0Rx_Dropped=0Tx_Dropped=0[….
.
]这个diaghardwaredeviceinfonic命令可以给出许多与接口硬件相关的信息.
下表做出了具体解释.
可能出现的硬件故障和解释项值定义Rx_Errors=rxerrorcount坏帧被标记为错误.
Rx_CRC_Errors+Rx_Length_Errors-Rx_Align_Errors该错误只在10/100M模式有效Rx_DroppedorRx_No_Buffer_Count缓存空间用尽.
Rx_Missed_Errors等同于Rx_FIFO_Errors只在1000M模式有效Tx_Errors=Tx_Aborted_ErrorsECOL(过度冲突数).
在半双工模式有效Tx_Window_ErrorsLATECOL(延时冲突数).
只在半双工模式增加Rx_Dropped查看Rx_Errors.
Tx_Dropped未定义.
Collisions冲突的总数在半双工模式有效Rx_Length_Errors传输长度错误Rx_Over_Errors未定义Rx_CRC_Errors帧校验和错误.
Rx_Frame_Errors和Rx_Align_Errors一致.
该错误只在10/100M模式有效Rx_FIFO_Errors和Rx_Missed_Errors一致Tx_Aborted_Errors查看Tx_Errors.
Tx_Carrier_Errors物理层需要在每个传输过程中维护内部载体传感器.
如果有错误可能表示连接失败或物理层配置错误.
只在全双工模式有效Tx_FIFO_Errors未定义Tx_Heartbeat_Errors未定义Tx_Window_Errors查看LATECOL.
Tx_Single_Collision_Frames计算一个成功的数据包传输时遇到单一冲突的次数.
只在半双工模式有效Tx_Multiple_Collision_Frames计算一个传输时遇到多余一次冲突但小于16次冲突的次数.
只在半双工模式有效Tx_Deferred计算延时事件.
当发包器由于传输介质忙碌不能马上发送数据包时延时发生.
Rx_Frame_Too_Longs收到的帧过大Rx_Frame_Too_Shorts收到的帧过小Rx_Align_Errors该错误只在10/100M模式有效SymbolErrorCount计算读取SYMERRS值之间的符号错误.
只在内部SerDes模式增加.
流量追踪流量跟踪可以显示数据包所经过的路径信息.
使用如下命令显示具体流量的会话信息diagsyssession使用如下命令显示具体流量进入防火墙时会话建立的过程diagdebugflow使用如下命令抓取数据包diagsnifferpacket会话表在FortiOS中,会话表可以监控在一个会话中一组有序数据包的流量,而不用像传统的防火墙那样监视分别每一个数据包.
每个会话都对应一个会话表项.
会话表是一个常用的排错工具,因为您可以查看期望的数据流是否已建立连接.
例如,当您用浏览器访问飞塔的官方网站时,您可以在防火墙上看到一个会话表项,它显示从您的电脑IP到飞塔网站的IP的80端口有相应的流量通过.
如果FortiOS中的会话表项过多,您可以检查具体项值以便查找原因.
防火墙的会话表可以从命令行或Web管理页面查看.
最有用的信息来自命令行.
Web管理页面可以查看会话的汇总信息,和一些常用信息.
Web管理模式会话表在web管理页面中有两个地方可以查看会话信息.
在系统管理—面板中的会话排行榜和policy—监视器中的会话状态.
会话排行榜会话排行榜可以根据源IP或目的IP做会话排名.
点击会话后面的查询按钮可以查看具体会话信息.
会话状态表会话状态表会列出会话的具体信息,如源目IP、源目端口、策略ID和持续时间等.
如果策略ID为空,则流量是从防火墙发起或到达防火墙结束.
您可以通过过滤器查看想要的会话信息.
如何查看某个具体会话使用的策略每一种程序都会使用相应的协议通过网络建立连接.
当这些流量通过防火墙时会形成会话表,您可以通过会话状态表过滤并查看具体会话信息.
1,确认您的连接信息想要查找您的会话信息,需要知道源IP(通常是PC的IP),目的IP(如果有),目的端口号.
常用的目的端口号有:Port80http协议Port22ssh协议Port23telnet协议Port443https协议2,通过过滤器定位您的会话信息在会话状态表中点击源地址前面的过滤按钮,输入您的源IP地址然后确定.
可以过滤出以该IP为源的所有会话信息,点击目的端口前面的过滤按钮,输入目的端口号然后确定.
基本上可以过滤出您想要的会话.
如果会话还是很多可以再过滤目的IP.
命令行查看会话信息默认使用命令diagsyssessionlist可以显示所有会话信息,但是输出的内容非常多,因此需要过滤出您想要的信息.
输出样例:FGT#diagsyssessionlistsessioninfo:proto=6proto_state=05expire=89timeout=3600flags=00000000av_idx=0use=3bandwidth=204800/secguaranteed_bandwidth=102400/sectraffic=332/secprio=0logtype=sessionha_id=0hakey=4450tunnel=/state=logshapemay_dirtystatistic(bytes/packets/err):org=3408/38/0reply=3888/31/0tuples=2orgin‐>sink:orgpre‐>post,replypre‐>postoif=3/5gwy=192.
168.
11.
254/10.
0.
5.
100hook=postdir=orgact=snat10.
0.
5.
100:1251‐>192.
168.
11.
254:22(192.
168.
11.
105:1251)hook=predir=replyact=dnat192.
168.
11.
254:22‐>192.
168.
11.
105:1251(10.
0.
5.
100:1251)pos/(before,after)0/(0,0),0/(0,0)misc=0domain_info=0auth_info=0ftgd_info=0ids=0x0vd=0serial=00007c33tos=ff/ff使用命令行过滤会话的命令如下:diagsyssessionfilter命令中的如下表clear清除会话过滤条件dintf目的接口dport目的端口dst目的IPduration持续时间expire过期时间negate返回过滤器nportNAT'd源端口nsrcNAT'd源IPpolicy策略ID.
proto协议号proto-state协议状态sintf源接口sport源端口src源IPvd虚拟域索引-1代表所有虽然udp是无状态机的协议,防火墙仍然会维护两种状态信息:Udp没有返回包,值为0Udp有返回包,值为1可以在会话信息的proto_state项中查看具体的值是多少会话信息的state项的值有如下解释状态解释log会话被记录local会话是从防火墙自身发起或终止到防火墙ext会话被防火墙的sessionhelper创建may_dirty会话被策略匹配.
例如,ftp的控制链路会带有该状态,ftp的数据链路不会带有该状态.
ndr会话会被IPS特征值检查nds会话会被IPSdos模块检查br会话在透明模式下.
防火墙会话每秒新建率防火墙在一段时间内建立的连接数量是有用的信息.
如果您在正常状态下记录每秒新建的速率,那么当出现问题时可以将每秒新建速率和之前的值作比较.
虽然这样做不能解决您的问题,但可以帮助判断问题的范围.
在web页面下查看每秒新建会话在系统管理‐‐‐‐面板‐‐‐‐Status菜单中查看会话排行榜窗口,在该窗口的最下一行有每秒新建会话数和当前会话总数在命令行下查看每秒新建会话FGT#getsysperformancestatusCPUstates:0%user0%system0%nice100%idleMemorystates:10%usedAveragenetworkusage:0kbpsin1minute,0kbpsin10minutes,13kbpsin30minutesAveragesessions:31sessionsin1minute,30sessionsin10minutes,31sessionsin30minutesAveragesessionsetuprate:0.
5sessionspersecondinlast1minute,0sessionspersecondinlast10minutes,0sessionspersecondinlast30minutesViruscaught:0totalin1minuteIPSattacksblocked:0totalin1minuteUptime:44days,18hours,42minutes在上面的输出中您可以看到一分钟内的平均会话数为31,每秒新建是0.
5.
查找目标的关联性当您要删除防火墙上的配置时可能遇到无法删除的情况,因为该项配置正在被其他的配置调用,通过下面提供的方式可以查看配置的关联性.
例如当您要删除一个vlan接口时,需要先删除调用该接口的所有配置.
命令行方式diagsyscheckused例如,查看防火墙策略ID为1的配置关联性diagsyscheckusedfirewall.
policy.
policyid1例如,查看防火墙接口port1的配置关联性diagsyscheckusedsystem.
interface.
nameport1输出样例entryusedbytablefirewall.
address:name'10.
98.
23.
23_host'entryusedbytablefirewall.
address:name'NAS'entryusedbytablefirewall.
address:name'all'entryusedbytablefirewall.
address:name'fortinet.
com'entryusedbytablefirewall.
vip:name'TORRENT_10.
0.
0.
70:6883'entryusedbytablefirewall.
policy:policyid'21'entryusedbytablefirewall.
policy:policyid'14'entryusedbytablefirewall.
policy:policyid'19'上面的输出显示该接口备四个防火墙地址调用,被三条策略调用,被一条虚拟IP调用.
Web页面方式在系统管理‐‐‐‐网络‐‐‐‐接口菜单中,有一列相关联显示,点击具体接口对应的相关联项可以查看关联信息.
流量跟踪在防火墙上做流量跟踪可以用如下命令diagdebugflowtracestart可以使用如下命令做过滤diagdebugflowfilter其中可以是如下项:AddrIPaddressClearclearfilterDaddrdestinationIPaddressDportdestinationportNegateinversefilterPortportProtoprotocolnumberSaddrsourceIPaddressSportsourceportVdindexofvirtualdomain,-1matchesall在命令行下显示流量跟踪信息diagdebugflowshowconsole在命令行下开始流量跟踪diagdebugflowtracestart在命令行下停止流量跟踪diagdebugflowtracestop下面是流量跟踪的命令举例diagdebugenablediagdebugflowshowconsoleenablediagdebugflowfilteraddr203.
160.
224.
97diagdebugflowtracestart100流量跟踪样例,http通过防火墙访问http://www.
fortinet.
com收到SYN包id=20085trace_id=209func=resolve_ip_tuple_fastline=2700msg="vd-rootreceivedapacket(proto=6,192.
168.
3.
221:1487->203.
160.
224.
97:80)fromport5.
"发送SYN包,建立新会话id=20085trace_id=209func=resolve_ip_tupleline=2799msg="allocateanewsession-00000e90"查找下一跳网关地址id=20085trace_id=209func=vf_ip4_route_inputline=1543msg="findaroute:gw-192.
168.
11.
254viaport6"源NAT转换,查看可用端口id=20085trace_id=209func=get_new_addrline=1219msg="findSNAT:IP-192.
168.
11.
59,port-31925"direction"检查策略匹配id=20085trace_id=209func=fw_forward_handlerline=317msg="AllowedbyPolicy-3:SNAT"应用源NAT:id=20085trace_id=209func=__ip_session_run_tupleline=1502msg="SNAT192.
168.
3.
221->192.
168.
11.
59:31925"收到SYNACKid=20085trace_id=210func=resolve_ip_tuple_fastline=2700msg="vd-rootreceivedapacket(proto=6,203.
160.
224.
97:80->192.
168.
11.
59:31925)fromport6.
"回包匹配已建立会话id=20085trace_id=210func=resolve_ip_tuple_fastline=2727msg="Findanexistingsession,id-00000e90,replydirection"反向源NATid=20085trace_id=210func=__ip_session_run_tupleline=1516msg="DNAT192.
168.
11.
59:31925->192.
168.
3.
221:1487"查找返回流量的下一跳路由id=20085trace_id=210func=vf_ip4_route_inputline=1543msg="findaroute:gw-192.
168.
3.
221viaport5"收到ACKid=20085trace_id=211func=resolve_ip_tuple_fastline=2700msg="vd-rootreceivedapacket(proto=6,192.
168.
3.
221:1487->203.
160.
224.
97:80)fromport5.
"匹配已建立会话id=20085trace_id=211func=resolve_ip_tuple_fastline=2727msg="Findanexistingsession,id-00000e90,originaldirection"应用源NATid=20085trace_id=211func=__ip_session_run_tupleline=1502msg="SNAT192.
168.
3.
221->192.
168.
11.
59:31925"收到客户端流量id=20085trace_id=212func=resolve_ip_tuple_fastline=2700msg="vd-rootreceivedapacket(proto=6,192.
168.
3.
221:1487->203.
160.
224.
97:80)fromport5.
"匹配已建立会话id=20085trace_id=212func=resolve_ip_tuple_fastline=2727msg="Findanexistingsession,id-00000e90,originaldirection"应用源NATid=20085trace_id=212func=__ip_session_run_tupleline=1502msg="SNAT192.
168.
3.
221->192.
168.
11.
59:31925"收到服务器流量id=20085trace_id=213func=resolve_ip_tuple_fastline=2700msg="vd-rootreceivedapacket(proto=6,203.
160.
224.
97:80->192.
168.
11.
59:31925)fromport6.
"匹配已建立会话id=20085trace_id=213func=resolve_ip_tuple_fastline=2727msg="Findanexistingsession,id-00000e90,replydirection"反向源NATid=20085trace_id=213func=__ip_session_run_tupleline=1516msg="DNAT192.
168.
11.
59:31925->192.
168.
3.
221:1487"流量跟踪样例,IPSec(策略模式)id=20085trace_id=1msg="vd-rootreceivedapacket(proto=1,10.
72.
55.
240:1->10.
71.
55.
10:8)frominternal.
"id=20085trace_id=1msg="allocateanewsession-00001cd3"id=20085trace_id=1msg="findaroute:gw-66.
236.
56.
230viawan1"id=20085trace_id=1msg="AllowedbyPolicy-2:encrypt"id=20085trace_id=1msg="enterIPsectunnel-RemotePhase1"id=20085trace_id=1msg="encrypted,andsendto15.
215.
225.
22withsource66.
236.
56.
226"id=20085trace_id=1msg="sendto66.
236.
56.
230viaintf-wan1"id=20085trace_id=2msg="vd-rootreceivedapacket(proto=1,10.
72.
55.
240:1-1071.
55.
10:8)frominternal.
"id=20085trace_id=2msg="Findanexistingsession,id-00001cd3,originaldirection"id=20085trace_id=2msg="enterIPsec="encrypted,andsendto15.
215.
225.
22withsource66.
236.
56.
226"tunnel-RemotePhase1"id=20085trace_id=2msgid=20085trace_id=2msg="sendto66.
236.
56.
230viaintf-wan1"抓包防火墙有两种抓包方式,通过命令行或web页面.
命令行抓包我们建议您使用Putty或SecureCRT等软件通过ssh方式连接到防火墙,抓包之前需要打开记录会话功能,将输出内容记录到一个文件中以便于分析.
抓包命令如下:diagsnifferpacket命令中必填,可以是任何接口名称或any(任意接口),其他可选.
命令中是过滤项,需要用单引号'包含'[[src|dst]host][[src|dst]host][[arp|ip|ip6|gre|esp|udp|tcp][port_no]][[arp|ip|ip6|gre|esp|udp|tcp][port_no]]'例如,过滤udp1812端口或tcp8080端口流量'udpport1812ortcpport8080'例如,显示以192.
168.
1.
2为源,以192.
168.
2.
3为目的的所有IP流量'ipsrchost192.
168.
1.
2anddsthost192.
168.
2.
3'命令中可选的显示信息如下1打印出数据包头2从IP层开始打印出数据包头和数据包内容3从二层开始打印出数据包头和数据包内容4打印出数据包头,带接口名称5从IP层开始打印出数据包头和数据包内容,带接口名称6从二层开始打印出数据包头和数据包内容,带接口名称命令中是抓包的个数,如不写则需要手工停止(Ctrl‐C.
).
数据包捕获FortiOS5.
0支持在web页面中做数据包捕获.
具体功能在系统管理‐‐‐‐网络‐‐‐‐数据包捕获.
当您需要抓包时输入如下信息,然后选择确定Interface从下拉菜单中选择目标接口.
必须选择一个接口.
如果想更改接口,必须先删除该接口下的过滤条目.
MaxPacketstoCapture输入需要抓取的数据包数目.
不能是0.
EnableFilters选择该项来指定过滤条件.
Host(s)输入一或多个IP,使用逗号隔开每个IP.
用破折号分开IP范围,例如172.
16.
1.
5-172.
16.
1.
15.
Port(s)输入一或多个端口,使用逗号隔开每个端口.
用破折号分开端口范围,例如88-90.
VLAN(s)输入一或多个vlanid,使用逗号隔开每个vlanid.
Protocol输入一或多个协议号,使用逗号隔开每个协议号.
用破折号分开协议号范围,例如21-25.
IncludeIPv6packets如果您的网络中包含IPv6数据包,启用该选项,否则不启用.
CaptureNon-IPpackets要抓取非IP数据包请使用该选项.
例如IPsec,IGMP,ARP,ICMP.
当抓包正在运行时,您可以看到捕获包的数量在增长,此时您不能下载抓包文件.
当抓包完成时,您可以选择下载抓包文件到PC,您可以用Wireshark等抓包软件打开下载的.
pcap文件,并进行分析.
FA2和NP2接口许多飞塔防火墙包含网络层处理器.
其中一部分包含FA2芯片,另一部分包含NP2芯片.
当使用FA2和NP2芯片接口时,只有最初的会话会被命令diagdebugflow显示.
如果会话正确的被ASIC芯片处理,则数据不会经过CPU而被直接转发.
若想让所有流量都经过CPU,则需要停止NP2快速转发功能,通常只在调试时使用.
使用如下命令查看设备的NP2接口:diagnpunp2list输出样例:IDPORTS0port10port20port30port4IDPORTS1port51port61port71port8IDPORTS2port92port102port112port12IDPORTS3port133port143port153port16输入如下命令:diagnpunp2fastpath‐snifferenableport1输出样例:NP2FastPathSnifferonport1enabled这条命令让port1接口上的流量都交给CPU处理,不用NP2加速,这样相关的diag命令就可以显示数据流的所有过程.
FA2接口没有相关的命令关闭加速.
Debug命令Debug输出提供了连续的、实时的事件信息.
它对设备运行状态诊断和故障分析都很有帮助.
使用如下命令启用debugdiagdebugenable使用如下命令禁用debugdiagdebugdisable使用如下启用不同的debug应用和级别diagdebugapplication应用authd认证进程cliDebugCLI.
cmdb-traceTraceCLI.
config-error-log配置错误日志信息consoleconsolecrashlog崩溃日志信息disable禁用debug输出enable启用debug输出flowTracepacketflowinkernel.
fsso-pollingFSSO活动目录读取模块info显示活动的debug级别设置kernelkernelrating显示rating信息report技术支持的报告reset重置所有debug级别到默认rtmonrtmon进程sql-log-errorSQL日志数据库错误信息urlfilterurlfilterDebug举例如下:diagdebugapplicationDHCPS2diagdebugapplicationspamfilter2使用如下命令启用时间戳:diagdebugconsoletimestampenable下面的例子是使用IKE协商防火墙到日志分析仪之间的安全连接:diagdebugresetdiagdebugapplicationike3192.
168.
11.
2diagdebugenable输出样例:FGh_FtiLog1:IPsecSAconnect0192.
168.
11.
2->192.
168.
10.
201:500,natt_mode=0rekey=0phase2=FGh_FtiLog1FGh_FtiLog1:usingexistingconnection,dpd_fail=0FGh_FtiLog1:foundphase2FGh_FtiLog1FGh_FtiLog1:IPsecSAconnect0192.
168.
11.
2->192.
168.
10.
201:500negotiatingFGh_FtiLog1:overridingselector225.
30.
5.
8with192.
168.
11.
2FGh_FtiLog1:initiatorquick-modesetpfs=1536.
.
.
FGh_FtiLog1:trytonegotiatewith1800lifeseconds.
FGh_FtiLog1:initiateanSAwithselectors:192.
168.
11.
2/0.
0.
0.
0->192.
168.
10.
201,ports=0/0,protocol=0/0SendIKEPacket(quick_outI1):192.
168.
11.
2:500(if0)->192.
168.
10.
201:500,len=348Initiator:sent192.
168.
10.
201quickmodemessage#1(OK)FGh_FtiLog1:setretransmit:st=168,timeout=6.
在这个例子中:192.
168.
11.
2‐>192.
168.
10.
201:500源目IP地址dpd_fail=0找到已存在阶段一pfs=1536创建新的阶段二其他命令ARP表查看arp表getsysarp查看系统arp表diagiparplist输出样例:index=14ifname=internal224.
0.
0.
501:00:5e:00:00:05state=00000040use=72203confirm=78203update=72203ref=1index=13ifname=dmz192.
168.
3.
100state=00000020use=1843confirm=650179update=644179ref=2VIPindex=13ifname=dmz192.
168.
3.
10902:09:0f:78:69:ffstate=00000004use=71743confirm=75743update=75743ref=1index=14ifname=internal192.
168.
11.
5600:1c:23:10:f8:20state=00000004use=10532confirm=10532update=12658ref=4清除arp表缓存executeclearsystemarptable清除一个arp表项diagiparpdelete清除某个接口下的所有arp缓存diagiparpflush添加静态arp表configsystemarp‐table时间和日期设置使用如下命令显示当前时间和日期executetimecurrenttimeis:12:40:48lastntpsync:ThuMar1612:00:212006executedatecurrentdateis:2006‐03‐16IP地址使用如下命令可以查看防火墙现有IP和接口的对应关系.
diagipaddresslist输出样例:#diagipaddresslistIP=10.
31.
101.
100‐>10.
31.
101.
100/255.
255.
255.
0index=3devname=internalIP=172.
20.
120.
122‐>172.
20.
120.
122/255.
255.
255.
0index=5devname=wan1IP=127.
0.
0.
1‐>127.
0.
0.
1/255.
0.
0.
0index=8devname=rootIP=127.
0.
0.
1‐>127.
0.
0.
1/255.
0.
0.
0index=11devname=vsys_haIP=127.
0.
0.
1‐>127.
0.
0.
1/255.
0.
0.
0index=13devname=vsys_fgfmFortiGate端口在tcp或udp协议栈中,有65535个端口可供应用程序通信使用.
其中有许多知名的端口,例如tcp80通常提供http服务.
这些端口在排错时会有帮助.
在防火墙上使用的端口如下表:端口功能UDP53DNS查询,RBL查询UDP53orUDP8888FortiGuard反垃圾邮件或网址过滤查询UDP53(default)orUDP8888andUDP1027orUDP1031FDNServerList-sourceanddestinationportnumbersvarybyoriginatingorreplytraffic.
Seethearticle"HowdoItroubleshootperformanceissueswhenFortiGuardWebFilteringisenabled"intheKnowledgeBase.
UDP123NTP同步UDP162SNMPTrapsUDP514SYSLOGTCP22配置备份到FortiManagerorFortiGuard分析和管理服务TCP25SMTP告警邮件,加密病毒样本自动更新TCP389orTCP636LDAPorPKI认证TCP443FortiGuard反病毒和IPS更新–当向FortiManager请求更新时,端口需要被配置为TCP8890.
TCP443FortiGuard分析和管理服务TCP514FortiGuard分析和管理服务日志传输TCP541SSL管理通道到FortiGuard分析和管理服务TCP514病毒隔离,远程访问日志和报告到FortiAnalyzer,设备注册到FortiAnalyzerunitsTCP1812RADIUS认证TCP8000andTCP8002FSSOTCP10151FortiGuard分析和管理服务合同校验FortiAnalyzer/FortiManager端口功能端口DNS查询UDP53NTP同步UDP123Windows共享UDP137-138SNMPtrapsUDP162Syslog,日志转发UDP514日志和报告上传TCP21orTCP22SMTP告警邮件TCP25LDAP查询TCP389orTCP636RVS升级TCP443RADIUS认证TCP1812日志聚合客户端TCP3000FortiGuard排错FortiGuard是提供杀毒库升级、IPS库升级、网址过滤和邮件过滤服务的服务器群.
有些问题会发生在FortiGuard系统和防火墙的通信过程中,常用的排错方法如下.
检查FortiGuard升级过程1,当前的防火墙有相关的服务吗FortiGuard只对在服务期内的项目提供升级,您可以在飞塔官方网站上确认设备的服务期,https://support.
fortinet.
com2,如果该防火墙加入了HA集群,集群中所有成员是否都有相同的服务内容3,自动更新的服务在设备上启用了吗可以web页面中查看FortiGuard服务的状态,在系统管理‐‐‐‐配置‐‐‐‐FortiGuard中可以查看.
4,从防火墙是否有合适的路由访问FortiGuard防火墙通常会有一条默认路由指向网络供应商,确认防火墙可以访问互联网.
5,是否有DNS问题可以在防火墙上ping一个域名检查能否解析.
6,上游的网络设备是否会阻断访问FortiGuard的流量防火墙使用udp53端口和FortiGuard通信,确认中间的网络设备不会阻断该端口.
7,在防火前的安全策略中是否启用了反病毒功能如果防火墙的安全策略中没有启用反病毒功能,反病毒库不会自动更新.
FortiGuard服务器设置可以使用getwebfilerstatus命令显示FortiGuard服务器地址.
通常防火墙只会向列表中第一行的服务器发送请求.
每个FortiGuard服务器地址按RTT时间从小到大排列.
输出样例:LocaleenglishLicenseContractExpiration:SatOct2608:00:002013Hostnameservice.
fortiguard.
net‐=‐ServerList(TueAug1310:44:272013)‐=‐IPWeightRTTFlagsTZPacketsCurrLostTotalLost209.
66.
81.
154160179-82700121.
111.
236.
1791019192700121.
111.
236.
180101919270062.
209.
40.
74703101270062.
209.
40.
73703251270062.
209.
40.
72703231270080.
85.
69.
37803000270080.
85.
69.
38803000270080.
85.
69.
41803000270080.
85.
69.
408030002700209.
222.
147.
36130252-5270069.
195.
205.
101130241-5270069.
195.
205.
102130241-5270066.
117.
56.
42130237-5270066.
117.
56.
37130252-52801209.
66.
81.
153160180D-82901208.
91.
112.
194160229DI-83100208.
91.
112.
198160230D-82800208.
91.
112.
196160229-82700以下是关于上表中标识位的解释:D‐‐‐‐服务器地址可以DNS查询中找到.
I‐‐‐‐最近INIT请求发送的服务器地址F‐‐‐‐该服务器地址没有响应T‐‐‐‐该服务器地址正在被计算RTT时间FortiGuardurl分类下面的命令可以排查FortiGuardurl分类的故障,diagdebugenablediagdebugapplicationurlfilter‐1输出样例:id=93000msg="pid=57urlfilter_main-723inmain.
creceivedpkt:count=91,a=/tmp/.
thttp.
socket/21"id=22009msg="receivedarequest/tmp/.
thttp.
socket,addr_len=21:d=="www.
goodorg.
org:80,id=12853,vfid=0,type=0,client=192.
168.
3.
90,url=/"id=99501user="N/A"src=192.
168.
3.
90sport=1321dst=dport=80service="http"cat=43cat_desc="Organisation"hostname="www.
goodorg.
org"url="/"status=blockedmsg="URLbelongstoadeniedcategoryinpolicy"id=22009msg="receivedarequest/tmp/.
thttp.
socket,addr_len=21:d=pt.
dnstest.
google.
com:80,id=300,vfid=0,type=0,client=192.
168.
3.
12,url=/gen_204"id=93003user="N/A"src=192.
168.
3.
12sport=21715dst=dport=80service="http"cat=41cat_desc="SearchEngines"hostname="pt.
dnstest.
google.
com"url="/gen_204"status=passthroughmsg="URLbelongstoanallowedcategoryinthepolicy"id=93000msg="pid=57urlfilter_main-723inmain.
creceivedpkt:count=91,a=/tmp/.
thttp.
socket/21"运行的文件(main.
c)列出了进程ID(PID)和相关功能.
它同时列出了收到的数据包数目和相关的socket.
id=22009msg="receivedarequest/tmp/.
thttp.
socket,addr_len=21:d=="www.
goodorg.
org:80,id=12853,vfid=0,type=0,client=192.
168.
3.
90,url=/"在某个特殊的socket(/tmp/.
thttp.
socket)上收到了一个请求.
需要鉴别的网址是"www.
goodorg.
org:80",192.
169.
3.
90是客户端浏览器IP.
id=99501user="N/A"src=192.
168.
3.
90sport=1321dst=dport=80service="http"cat=43cat_desc="Organisation"hostname="www.
goodorg.
org"url="/"status=blockedmsg="URLbelongstoadeniedcategoryinpolicy"没有用户和源IP(192.
168.
3.
90),端口(1321)关联.
目的IP未知,端口是标准的http80端口,Cat=43关键字给出了被检查的url属于组织类别.
由主机名"goodorg.
org"得到确认.
该url的状态是阻断,因为它属于被禁止的类别.

npidc:9元/月,cn2线路(不限流量)云服务器,金盾+天机+傲盾防御CC攻击,美国/香港/韩国

npidc全称No Problem Network Co.,Limited(冇問題(香港)科技有限公司,今年4月注册的)正在搞云服务器和独立服务器促销,数据中心有香港、美国、韩国,走CN2+BGP线路无视高峰堵塞,而且不限制流量,支持自定义内存、CPU、硬盘、带宽等,采用金盾+天机+傲盾防御系统拦截CC攻击,非常适合建站等用途。活动链接:https://www.npidc.com/act.html...

iWebFusion:独立服务器月付57美元起/5个机房可选,10Gbps服务器月付149美元起

iWebFusion(iWFHosting)在部落分享过很多次了,这是成立于2001年的老牌国外主机商H4Y旗下站点,提供的产品包括虚拟主机、VPS和独立服务器租用等等,其中VPS主机基于KVM架构,数据中心可选美国洛杉矶、北卡、本德、蒙蒂塞洛等。商家独立服务器可选5个不同机房,最低每月57美元起,而大流量10Gbps带宽服务器也仅149美元起。首先我们分享几款常规服务器配置信息,以下机器可选择5...

TMThosting夏季促销:VPS月付7折,年付65折,独立服务器95折,西雅图机房

TMThosting发布了一个2021 Summer Sale活动,针对西雅图VPS主机提供月付7折优惠码,年付65折优惠码,独立服务器提供95折优惠码,本轮促销活动到7月25日。这是一家成立于2018年的国外主机商,主要提供VPS和独立服务器租用业务,数据中心包括美国西雅图和达拉斯,其中VPS基于KVM架构,都有提供免费的DDoS保护,支持选择Windows或者Linux操作系统。Budget ...

securecrt使用为你推荐
neworiental天津新东方总部地址在哪里?怎么查询商标想要知道一个商标是否被注册,在哪里查到的比较权威?今日油条油条每周最多能吃多少商标注册流程及费用我想注册商标一般需要什么流程和费用?mathplayer如何学好理科同ip域名同IP网站具体是什么意思,能换独立的吗haole16.com玛丽外宿中16全集在线观看 玛丽外宿中16qvod快播高清下载lcoc.top日本Ni-TOP是什么意思?bbs2.99nets.com这个"风情东南亚"网站有78kg.cn做网址又用bbs.风情东南亚.cn那么多此一举啊!www.ca800.comPLC好学吗
英文域名 域名城 免费cn域名注册 arvixe 空间服务商 hostker 河南m值兑换 umax120 cxz 韩国代理ip 湖南idc 免费网络 小夜博客 美国西雅图独立 卡巴下载 studentmain 国内云主机 电脑主机声音大 web服务器配置 灵动鬼影实录3 更多