j'ai compris

[Dr.WoW] [No.7] Précautions pour les guides de configuration et de dépannage

publié il y a  2020-4-29 23:40:53 8 0 0 0

1 zones de sécurité

Pour une nouvelle zone de sécurité sur un pare-feu, une priorité (niveau de sécurité) doit être spécifiée; sinon, les ports associés ne peuvent pas être ajoutés dans la zone de sécurité. Voici un exemple d'échec de l'ajout de ports à une zone de sécurité.

[FW] firewall zone name abc
[FW-zone-abc] add interface GigabitEthernet 0/0/1
Error: Please set the priority on this zone at first.

La commande suivante peut être utilisée pour spécifier une priorité, qui est unique et ne peut pas répéter celle d'une zone de sécurité existante.

[FW-zone-abc] set priority 10

Un utilisateur peut avoir tendance à oublier d'ajouter des ports aux zones de sécurité. Si aucun port n'est ajouté à une zone de sécurité, le pare-feu ne peut pas déterminer le chemin de transfert des paquets ainsi que les associations entre zones. Par conséquent, le pare-feu rejette les paquets et le service sera indisponible.

Dans ce cas, vous pouvez utiliser la commande pour vérifier les configurations de zone de sécurité sur le pare-feu et les ports qui ont été ajoutés à la zone de sécurité.

[FW] display zone
local
priority is 100
#
trust
priority is 85
interface of the zone is (1):
    GigabitEthernet0/0/1
#
untrust
priority is 5
interface of the zone is (1):
GigabitEthernet0/0/2
GigabitEthernet0/0/3
#
dmz
priority is 50
interface of the zone is (0):
#
abc
priority is 10
interface of the zone is (0):
#

Lorsqu'un service n'est pas disponible, il peut y avoir une perte de paquets. Vous pouvez utiliser la commande display firewall statistic system discard pour vérifier les statistiques des paquets sur le pare-feu. Si la sortie de commande suivante s'affiche, le pare-feu ne peut pas déterminer les associations entre zones et doit supprimer les paquets.

[FW] display firewall statistic system discard
Packets discarded statistic
                            Total packets discarded:          5
                   Interzone miss packets discarded:          5

La cause première de la perte de paquets est que les ports n'ont pas été ajoutés à la zone de sécurité. Ensuite, vous pouvez voir comment les informations de perte de paquets sur le pare-feu aident à localiser les erreurs.

2 Mécanisme d'inspection et de session avec état

La technologie de base à l'intérieur du pare-feu d'inspection dynamique consiste à *** *** l'état de la connexion entre les pairs de communication et à établir des sessions pour le transfert de paquets. Si un service n'est pas disponible, une session peut ne pas être établie sur le pare-feu. Cette inférence est utile pour le dépannage.

Vous pouvez utiliser la commande display firewall session table pour rechercher une session pour le service indisponible.

 

S'il n'y a pas de session de service sur le pare-feu

Il y a deux causes probables:

  • Les paquets de services n'atteignent pas le pare-feu.

  • Les paquets de service sont rejetés par le pare-feu.

Pour la première cause probable, les paquets de service peuvent être rejetés par d'autres périphériques réseau avant d'atteindre le pare-feu. Si les autres périphériques réseau ne rejettent pas les paquets de services, c'est le pare-feu qui les rejette.

Dans ce cas, exécutez la commande de suppression du système d'affichage des statistiques du pare-feu pour vérifier les statistiques de perte de paquets sur le pare-feu. Si les informations suivantes s'affichent, le pare-feu ne parvient pas à déterminer les associations entre zones ou à trouver une entrée ARP.

[FW] display firewall statistic system discard
Packets discarded statistic
                            Total packets discarded:          2
                         ARP miss packets discarded:          2

Si le pare-feu ne parvient pas à obtenir des entrées ARP, vérifiez la fonction ARP sur ses périphériques en amont et en aval.

Si les informations suivantes s'affichent, le pare-feu ignore les paquets car il ne peut pas trouver de route pour eux.

[FW] display firewall statistic system discard
Packets discarded statistic
                            Total packets discarded:          2
                         FIB miss packets discarded:          2

Ensuite, le pare-feu a un problème avec les configurations de route. Dans ce cas, vérifiez les itinéraires vers les destinations sur le pare-feu.

Si les informations suivantes s'affichent, le pare-feu ignore les paquets car il ne peut pas trouver de session pour eux.

[FW] display firewall statistic system discard
Packets discarded statistic
                            Total packets discarded: 2
                    Session miss packets discarded:  2

Le pare-feu peut recevoir les paquets qui suivent le paquet principal mais pas le paquet principal. Dans ce cas, vérifiez si les paquets de demande et de réponse sont transmis sur des chemins différents. Si nécessaire, utilisez la commande Annuler la vérification de l'état du lien de la session du pare-feu pour désactiver l'inspection dynamique pour la vérification.

Si les informations suivantes s'affichent, le pare-feu rejette les paquets car il ne parvient pas à établir une session.

[FW] display firewall statistic system discard
Packets discarded statistic
                            Total packets discarded: 2
            Session create fail packets discarded:   2

Les sessions sur le pare-feu peuvent atteindre la limite et aucune session supplémentaire ne peut être établie. Dans ce cas, vérifiez les sessions qui sont en direct depuis longtemps. Par exemple, il existe un grand nombre de sessions DNS, pour lesquelles il y a peu de paquets. Ensuite, le temps de vieillissement de la session DNS peut être modifié en 3 secondes pour accélérer le vieillissement, à l'aide de la commande suivante:

[FW] firewall session aging-time dns 3

 

S'il y a une session de service sur le pare-feu

Utilisez la commande verbose d'affichage de la table de session du pare-feu pour vérifier les détails de la session. Si les informations suivantes s'affichent, il existe des statistiques de paquets dans le sens de la session directe mais aucune dans le sens de la session inverse.

[FW] display firewall session table verbose
Current Total Sessions : 1
  icmp  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:00:10  Left: 00:00:04
  Interface: GigabitEthernet0/0/1  NextHop: 172.16.0.1  MAC: 54-89-98-fc-36-96
  <--packets:0 bytes:0   -->packets:5 bytes:45
  192.168.0.1: 54187-->172.16.0.1:2048

En ce qui concerne les causes probables, les paquets de réponse peuvent ne pas atteindre le pare-feu ou être rejetés par le pare-feu. Vérifiez ensuite si les paquets sont rejetés par d'autres périphériques réseau avant d'atteindre le pare-feu. Et vérifiez également les statistiques de perte de paquets sur le pare-feu.

 

Alors le Dr WoW a quelques questions à vous poser:

1. En quoi les pare-feu diffèrent-ils des routeurs et des commutateurs?
2. Quelles sont les fonctionnalités des première, deuxième et troisième générations de pare-feu?
3. Quel pare-feu Huawei a été testé par NSS Labs comme le pare-feu le plus rapide?
4. Veuillez nommer les priorités par défaut (niveaux de sécurité) des zones de sécurité locales, de confiance, DMZ et non fiables.
5. Veuillez indiquer les 5 tuple de la session suivante.
VPN telnet: public -> public 192.168.0.2:51870-->172.16.0.2:23
6. Comment un pare-feu avec inspection d'état désactivée traite-t-il les paquets TCP SYN + ACK reçus étant donné que la règle de pare-feu leur permet de passer?

 

 

 

Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici.




  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise