第九章防火墙典型组网及常见故障诊断ppt课件.ppt

第12章防火墙典型组网及常见故障诊断 ISSUE1 1 日期 掌握SecPath防火墙常见组网掌握SecPath防火墙故障诊断技巧 课程目标 学习完本课程 您应该能够 防火墙常见组网防火墙常见故障诊断 目录 防火墙常见组网案例 在政府 企业纵向网络出口中的应用金融证券行业的组网应用电信级可靠性应用 在政府 企业纵向网络出口中的应用 SecPath防火墙 企业用户 trust域 untrust域 DMZ域 服务器群 金融证券行业的组网应用 认证服务器 数据中心 网上银行 电子商务 网页浏览 内部网 Server SecPathA SecPathB 企业用户 企业用户 untrust区域 DMZ区域1 DMZ区域2 trust区域 电信级可靠性组网应用 internet 分支机构 企业用户 内部网 公网服务器 防火墙常见组网防火墙常见故障诊断 目录 故障诊断流程 检查物理链路状态检查防火墙的缺省动作是拦截还是放行检查接口是否加入正确的域检查ARP表项是否正确检查ACL规则的匹配情况检查NAT表项是否正确检查ASPF是否启用 是否应用到正确的接口正确的方向检查域统计功能是否开启 常见故障现象一 故障现象 防火墙接口配置IP地址后 ping不通分析诊断 ping不通存在如下可能 请逐一检查1 确保防火墙物理链路up状态 2 确保物理接口加入区域中的一个 3 检查防火墙的缺省规则及ACL规则 4 检查ARP表项中是否存在对端设备的MAC地址 5 通过debug命令查看ICMP报文的收发情况 常见故障现象二 故障现象 配置端口扫描和地址扫描攻击防范及动态黑名单后在防火墙上看不到攻击日志 同时没有把扫描源地址动态加入到黑名单里 诊断分析 1 检查扫描工具的扫描速度是否超过配置文件文件设置的每秒的max rate值2 检查是否启用黑名单功能3 检查连接发起方域出方向的IP统计功能是否开启 常见故障现象三 故障现象 网页内容关键字过滤设置后 不生效分析诊断 1 检查ASPF是否配置为检测HTTP 2 检查ASPF是否应用到接口或者域间3 通过displayfirewallweb filter查看过滤记录 注意事项 配置网页过滤及邮件过滤时 必须打开ASPF检测功能 常见故障现象四 故障现象 系统不能检测2FE卡分析诊断 1 displayversion查看2FE卡是否已经注册2 检查2FE卡的类型 有两种类型的2FE卡 secpath只支持82559芯片的2fe 不支持21143芯片的2fe还需要补充两种类型的板卡的区别方法 注 识别方法如下 可用通过单板的物理芯片肉眼观察识别 21143芯片的2fe在靠近pci插座的地方 有一块4平方厘米的芯片 上面有21143的标记 如果是82559芯片的2fe 只有一块1平方厘米的芯片 在单板中间 上面有82559的标记 常见故障现象五 故障现象 防火墙透明模式设置为透明模式 防火墙两边的路由器不能建立OSPF邻居关系 分析诊断 1 检查是否开启对unknown mac的泛洪或者广播功能 2 通过ping检查两端的物理链路是否通畅 3 检查两端hello报文部分的区域号 网络号 hello间隔时间和死亡时间等参数是否一致 4 其他部分请参考OSPF协议的调试部分内容 常见故障现象六 故障现象 GRE隧道设置完毕后 不能ping通对端tunnel接口分析诊断 对于可能存在的原因 逐一检查如下 1 确保隧道接口已经加入公网接口所在的域 2 displayinterfacetunnel检查隧道接口是否已经处于up状态 2 检查是否配置隧道是否配置了正确的源和目的地址 3 检查路由表里是否存在到隧道目的地址的路由 也可以通过ping命令测试隧道目的地址是否可达 注意事项 所有的接口 无论是物理接口还是虚拟接口都必须加入某个域 常见故障现象七 故障现象 通过浏览器登录防火墙时 提示 找不到页面 分析诊断 1 检查PC到防火墙的物理链路是否问题 2 通过dir命令 检查flash里是否已经存在http zip文件 3 如果不存在