Paloalto下一代防火墙运维手册

Paloalto防火墙运维手册目录

下一代防火墙产品简介

Paloalto下一代防火墙(NGFW)是应用层安全平台。解决了网络复杂结构，具有强大的应用识别、威胁防范、用户识别控制、优越的性能和高中低端设备选择。

数据包处理流程图：

查看会话

可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙，如果会话已经建立，并且一直有后续报文命中刷新,基本可以排除防火墙的问题。

2.1.查看会话汇总

命令：

showsessioninfo

举例：

admin@PA-VM>showsessioninfo

说明：通过以上命令可以查看到设备支持会话数的最大值，从而检查是否有负载的情况发生。

2.2.查看sessionID

命令：

showsessionidXX

举例：

说明：从以上命令中可以看出到底是否存在非法流量，可以通过检查源地址和目的地址端口等信息

2.3.条件选择查看会话

命令：

showsessionallfiltersource[ip]destination[ip]application[app]

举例：

说明：可以检查一些风险会话

2.4.查看当前并发会话数

命令：

showsessioninfo

举例：

当前并发会话13个，而最大会话为262138，说明会话利用率并不高，最后一条红色标记为新建数值。

说明：了解设备当前并发会话情况

2.5.会话过多处理方法

命令：

1、showsessionall（检查所有session）

是否不法流量）session（检查该showsessionidXX、2．

说明：如果发现会话数大于设备可支撑的性能，需要按照以上步骤检查和清除或者防御

通过第一步发现占会话总数较多的ID，通过第二步检查该ID是否存在不法app或者其他流量，通过Dos保护或者会话限制该IP数目（如果确定是攻击，可以通过安全策略屏蔽该IP地址访问）。

清除会话

命令：

Clearsessionall

举例：

可通过sessionid、源或目的IP、源或目的端口或清除所有会话。

说明：将会话清除。

抓包和过滤

在做debug/less或者抓包调试的时候，最好把PA的fastpath功能关掉，这样可以更加完整的看到交互的数据报文，关闭命令为：Setdeviceconfigsettingsessionoffloadno

Setsessionoffloadno

命令：

1、创建过滤规则：

Debugdataplanepacket-diagsetfiltermatchsourcedestination

2、开启过滤规则：

Debugdataplanepacket-diagsetfilteron

、配置抓包对象：3．

（抓取来自接口接收的报文）

（抓取地址转换后的报文）

（抓取经过防火墙的报文）

4、全局抓包开关：

Debugdetaplanepacket-diagsetcaptureon

5、查看全局抓包配置：

Debugdetaplanepacket-diagshowsetting

6、关闭抓包

Debugdetaplanepacket-diagsetcaptureoff

7、清除所有抓包内容

Debugdetaplanepacket-diagclearall

8、删除文件

举例：

说明：paloalto可以通过抓包的方式来分析故障情况。

CPU和内存查看

1.1.管理平台CPU和内存查看

命令：

showsystemresources

举例：

说明：通过以上命令可以查询到数据平台的cpu使用情况和内存使用

情况。如发现CPU过高的情况，可以通过showsystemresourcesfollow 这个命令去检查到底是哪项应用有超负载行为：

-1可以检查哪个CPU频率高，默认为合并

-M可以检查内存使用率是否过高

检查异常应用是否必要使用，否则请关闭，如果不清楚需要开case 分析问题。

1.2.数据平台CPU和内存查看

命令：

showrunningresource-monitor

举例：

说明：通过以上命令可以查询到管理平台的cpu使用率，查看该CPU 哪个应用占用的程序比较大，根据情况关闭相关应用，例如

flow_lookup是检查会话是否存在进程，flow_forwarding是transmit 地址转换进程，如果不确定的情况下开case解决问题。

1.3.全局利用率查看

命令：

showcounterglobal

举例：

说明：可以根据数据平台和管理平台综合情况，去查看具体哪个应用利用率超标，综合判断引起故障的要点。

调试Less和Debug

在PA的debug是为了获取等多的排障详细信息，这个命令相当于show的命令，主要是查看管理平台和数据平台额外信息从而判断问题的根本原因。

Less为管理和数据平台log日志的查看，对比起GUI使用CLI的less 能看到更多的详细数据交互信息，从而判断问题的根本原因。

6.1.管理平台Debug/Less

命令：

lessmp-log/tailfollowyesmp-log

举例：

说明：查看管理平台日志信息可以通过辅助命令去实现：

使用tail可以实时发现流量情况，例如该命令为查看管理平台的认证情况。

6.2.数据平台Debug/Less

命令：

debugdataplane

举例：

说明：使用debugdataplane可以查看数据平台流量，例如内存的详细使用情况等。

6.3.其他Debug/Less

命令：

debugikeglobalondebug

（查看VPNike信息）

（查看VPNike日志信息）

举例：

说明：查看VPNike交互过程，可以通过tailfollowyes的方式实时查看数据报文的交互。