[Dr.WoW] [No.7] Precauciones para la configuración y guías de solución de problemas

106 0 0 0

1 Zonas de seguridad


Para una nueva zona de seguridad en un firewall, se debe especificar una prioridad (nivel de seguridad); de lo contrario, los puertos asociados no se pueden agregar a la zona de seguridad. A continuación se proporciona un ejemplo de error al agregar puertos a una zona de seguridad.

[FW] firewall zone name abc 
[FW-zone-abc] add interface GigabitEthernet 0/0/1 
Error: Please set the priority on this zone at first.

 

El siguiente comando se puede usar para especificar una prioridad, que es única y no puede repetir la de cualquier zona de seguridad existente.

[FW-zone-abc] set priority 10

 

Un usuario puede tender a olvidarse de agregar puertos a las zonas de seguridad. Si no se agregan puertos a una zona de seguridad, el firewall no puede determinar la ruta para reenviar paquetes, así como las asociaciones entre zonas. En consecuencia, el firewall descarta los paquetes y el servicio no estará disponible.

 

En este caso, puede usar el comando para verificar las configuraciones de la zona de seguridad en el firewall y los puertos que se han agregado a la zona de seguridad.

[FW] display zone 
local 
priority is 100 

trust 
priority is 85 
interface of the zone is (1): 
    GigabitEthernet0/0/1 

untrust 
priority is 5 
interface of the zone is (1): 
GigabitEthernet0/0/2 
GigabitEthernet0/0/3 

dmz 
priority is 50 
interface of the zone is (0): 

abc 
priority is 10 
interface of the zone is (0): 
#

Cuando un servicio no está disponible, puede haber pérdida de paquetes. Puede usar el comando de visualización del sistema de estadísticas del firewall para verificar las estadísticas de paquetes en el firewall. Si se muestra el siguiente comando de salida, el firewall no puede determinar las asociaciones entre zonas y debe descartar paquetes.

 

FW] display firewall statistic system discard 
Packets discarded statistic 
                            Total packets discarded:          5 
                   Interzone miss packets discarded:          5

 

La causa raíz de la pérdida de paquetes es que los puertos no se han agregado a la zona de seguridad. Luego puede ver cómo la información de pérdida de paquetes en el firewall ayuda a localizar fallas.

 

2 Inspección de estado y mecanismo de sesión

La tecnología central dentro del firewall de inspección de estado es analizar el estado de conexión entre pares de comunicación y establecer sesiones para reenviar paquetes. Si un servicio no está disponible, es posible que no se establezca una sesión en el firewall. Esta deducción es útil para la resolución de problemas.

 

Puede usar el comando display firewall session table para verificar si hay una sesión para el servicio no disponible.

 

Si no hay sesión de servicio en el firewall

Hay dos causas probables:

·         Los paquetes de servicio no llegan al firewall.

·         Los paquetes de servicio son descartados por el firewall.

Por la primera causa probable, los paquetes de servicio pueden ser descartados por otros dispositivos de red antes de que lleguen al firewall. Si los otros dispositivos de red no descartan los paquetes de servicio, es el firewall el que los descarta.

 

En este caso, ejecute el comando display firewall session table para verificar las estadísticas de pérdida de paquetes en el firewall. Si se muestra la siguiente información, el firewall no puede determinar las asociaciones entre zonas o encontrar una entrada ARP.

 

                                                                                                                                                                              [FW] display firewall statistic system discard 
Packets discarded statistic 
                            Total packets discarded:          2 
                         ARP miss packets discarded:          2

 

Entonces el firewall tiene un problema con las configuraciones de las rutas. En este caso, verifique las rutas a los destinos en el firewall.

 

Si se muestra la siguiente información, el firewall descarta paquetes porque no puede encontrar una sesión para ellos.

FW] display firewall statistic system discard 
Packets discarded statistic 
                            Total packets discarded: 2 
                    Session miss packets discarded:  2

El firewall puede recibir los paquetes que siguen al paquete principal, pero no el paquete principal. En este caso, verifique si los paquetes de solicitud y respuesta se reenvían a través de diferentes rutas. Si es necesario, utilice el comando undo firewall session link-state check para la verificación.

 

Si se muestra la siguiente información, el firewall descarta paquetes porque no logra establecer una sesión.

[FW] display firewall statistic system discard 
Packets discarded statistic 
                            Total packets discarded: 2 
            Session create fail packets discarded:   2

 

Las sesiones en el firewall pueden alcanzar el límite y no se puede establecer más sesiones. En este caso, compruebe las sesiones que están vivas durante mucho tiempo. Por ejemplo, hay una gran cantidad de sesiones de DNS, para las cuales hay pocos paquetes. Luego, el tiempo de caducidad de la sesión de DNS se puede cambiar a 3 segundos para acelerar el envejecimiento, utilizando el siguiente comando:

[FW] firewall session aging-time dns 3

 

 

Si hay una sesión de servicio en el firewall


Use el comando detallado de la tabla de sesión del firewall para verificar los detalles de la sesión. Si se muestra la siguiente información, hay estadísticas de paquetes en la dirección de la sesión hacia adelante, pero ninguna en la dirección de la sesión inversa.

[FW] display firewall session table verbose 
Current Total Sessions : 1 
  icmp  VPN:public --> public 
  Zone: trust--> untrust  TTL: 00:00:10  Left: 00:00:04 
  Interface: GigabitEthernet0/0/1  NextHop: 172.16.0.1  MAC: 54-89-98-fc-36-96 
  <--packets:0 bytes:0   -->packets:5 bytes:45 
  192.168.0.1: 54187-->172.16.0.1:2048

Con respecto a las causas probables, es posible que los paquetes de respuesta no alcancen el firewall o que el firewall no los descarte. Luego, verifique si los paquetes son descartados por otros dispositivos de red antes de que lleguen al firewall. Y también verifique las estadísticas de pérdida de paquetes en el firewall.

Entonces hay algunas preguntas para usted:

 

1. ¿En qué se diferencian los firewalls de los routers y los switches?

2. ¿Qué características tienen la primera, segunda y tercera generación de firewalls?

3. ¿Qué firewall de Huawei fue probado *****SS Labs como el firewall más rápido?

4. Nombre las prioridades predeterminadas (niveles de seguridad) de las zonas de seguridad locales, de confianza, DMZ y no confiables.

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba