[Dr.WoW] [No.7] Précautions pour la configuration et les guides de dépannage

1 zones de sécurité

Pour une nouvelle zone de sécurité sur un pare-feu, une priorité (niveau de sécurité) doit être spécifiée. sinon, les ports associés ne peuvent pas être ajoutés dans la zone de sécurité. Vous trouverez ci-dessous un exemple d'échec de l'ajout de ports à une zone de sécurité.

[FW] firewall zone name abc 
[FW-zone-abc] add interface GigabitEthernet 0/0/1  
Error: Please set the priority on this zone at first.

La commande suivante peut être utilisée pour spécifier une priorité unique qui ne peut pas répéter celle d'une zone de sécurité existante.

[FW-zone-abc] set priority 10

Un utilisateur peut avoir tendance à oublier d’ajouter des ports aux zones de sécurité. Si aucun port n'est ajouté à une zone de sécurité, le pare-feu ne peut pas déterminer le chemin d'accès pour la transmission des paquets ni les associations entre zones. Par conséquent, le pare-feu supprime les paquets et le service sera indisponible.

Dans ce cas, vous pouvez utiliser la commande pour vérifier les configurations de zone de sécurité sur le pare-feu et les ports qui ont été ajoutés à la zone de sécurité.

[FW] display zone 
local 
priority is 100 
# 
trust 
priority is 85 
interface of the zone is (1): 
    GigabitEthernet0/0/1 
# 
untrust 
priority is 5 
interface of the zone is (1): 
GigabitEthernet0/0/2 
GigabitEthernet0/0/3 
# 
dmz 
priority is 50 
interface of the zone is (0): 
# 
abc 
priority is 10 
interface of the zone is (0): 
#

Lorsqu'un service est indisponible, il peut y avoir une perte de paquets. Vous pouvez utiliser la commande display firewall statistic system discard pour vérifier les statistiques de paquets sur le pare-feu. Si la sortie de commande suivante est affichée, le pare-feu ne peut pas déterminer les associations entre zones et doit rejeter les paquets.

[FW] display firewall statistic system discard 
Packets discarded statistic 
                            Total packets discarded:          5 
                   Interzone miss packets discarded:          5

La cause première de la perte de paquets est que les ports n'ont pas été ajoutés à la zone de sécurité. Vous pouvez ensuite voir comment les informations de perte de paquets sur le pare-feu aident à localiser les erreurs.

2 Mécanisme d'inspection et de session avec état

La technologie de base à l’intérieur du pare-feu d’inspection à états consiste à *** *** l'état de la connexion entre les homologues de communication et à établir des sessions de transfert de paquets. Si un service est indisponible, une session ne peut pas être établie sur le pare-feu. Cette inférence est utile pour le dépannage.

Vous pouvez utiliser la commande d' affichage de la table de session du pare-feu pour rechercher une session pour le service indisponible.

S'il n'y a pas de session de service sur le pare-feu

Il y a deux causes probables:

• Les paquets de service n'atteignent pas le pare-feu.
• Les paquets de service sont supprimés par le pare-feu. 
  

Pour la première cause probable, les paquets de service peuvent être ignorés par d'autres périphériques réseau avant qu'ils n'atteignent le pare-feu. Si les autres périphériques réseau ne rejettent pas les paquets de service, c'est le pare-feu qui les supprime.

Dans ce cas, exécutez la commande display firewall statistic system discard pour vérifier les statistiques de perte de paquets sur le pare-feu. Si les informations suivantes sont affichées, le pare-feu ne parvient pas à déterminer les associations entre zones ni à rechercher une entrée ARP.

[FW] display firewall statistic system discard 
Packets discarded statistic 
                            Total packets discarded:          2 
                         ARP miss packets discarded:          2

Si le pare-feu ne parvient pas à obtenir les entrées ARP, vérifiez la fonction ARP sur ses périphériques en amont et en aval.

Si les informations suivantes sont affichées, le pare-feu supprime les paquets car il ne trouve pas de route pour les acheminer.

[FW] display firewall statistic system discard 
Packets discarded statistic 
                            Total packets discarded:          2 
                         FIB miss packets discarded:          2

Ensuite, le pare-feu a un problème avec les configurations de route. Dans ce cas, vérifiez les itinéraires vers les destinations sur le pare-feu.

Si les informations suivantes sont affichées, le pare-feu ignore les paquets car il ne peut pas trouver de session pour eux.

[FW] affiche les statistiques de pare-feu 
rejetées par le système Statistiques de paquets rejetées 
                            Nombre total de paquets rejetés: 2 
                    Paquets manqués lors de la session ignorés: 2

Le pare-feu peut recevoir les paquets qui suivent le paquet principal, mais pas le paquet principal. Dans ce cas, vérifiez si les paquets de demande et de réponse sont transmis sur des chemins différents. Si nécessaire, utilisez la commande undo firewall session link-state check pour désactiver le contrôle avec état pour vérification.

Si les informations suivantes sont affichées, le pare-feu ignore les paquets car il ne parvient pas à établir une session.

[FW] display firewall statistic system discard 
Packets discarded statistic 
                            Total packets discarded: 2 
            Session create fail packets discarded:   2

Les sessions sur le pare-feu peuvent atteindre la limite et aucune session supplémentaire ne peut être établie. Dans ce cas, recherchez les sessions en direct sur une longue période. Par exemple, il existe un grand nombre de sessions DNS pour lesquelles il existe peu de paquets. Ensuite, vous pouvez modifier la durée de vie de la session DNS en 3 pour accélérer le vieillissement, à l'aide de la commande suivante:

[FW] firewall session aging-time dns 3

S'il y a une session de service sur le pare-feu

Utilisez la commande display firewall session table verbose pour vérifier les détails de la session. Si les informations suivantes sont affichées, il existe des statistiques sur les paquets dans le sens de la session suivante, mais aucune dans le sens de la session inverse.

[FW] display firewall session table verbose 
Current Total Sessions : 1 
  icmp  VPN:public --> public 
  Zone: trust--> untrust  TTL: 00:00:10  Left: 00:00:04 
  Interface: GigabitEthernet0/0/1  NextHop: 172.16.0.1  MAC: 54-89-98-fc-36-96 
  <--packets:0 bytes:0   -->packets:5 bytes:45 
  192.168.0.1: 54187-->172.16.0.1:2048

En ce qui concerne les causes probables, les paquets de réponse peuvent ne pas atteindre le pare-feu ou être ignorés par le pare-feu. Ensuite, vérifiez si les paquets sont éliminés par d'autres périphériques réseau avant qu'ils n'atteignent le pare-feu. Et aussi vérifier les statistiques de perte de paquets sur le pare-feu.

Dr. WoW a ensuite quelques questions à vous poser:

1. En quoi les pare-feu diffèrent-ils des routeurs et des commutateurs? 
2. Quelles sont les caractéristiques des première, deuxième et troisième générations de pare-feu? 
3. Quel est le pare-feu Huawei testé par NSS Labs en tant que pare-feu de plus en plus rapide? 
4. Veuillez nommer les priorités par défaut (niveaux de sécurité) des zones de sécurité locale, sécurisée, DMZ et non sécurisée. 
5. S'il vous plaît dire le 5-tuple de la session suivante. 
telnet VPN: public -> public 192.168.0.2:51870-->172.16.0.2:23 
6. Comment un pare-feu avec contrôle par état désactivé traite-t-il les paquets TCP SYN + ACK reçus, étant donné que la règle de pare-feu leur permet de les transmettre?

Pour afficher la liste de tous les postes techniques de Dr. WoW, cliquez ici .