摘要:在USG防火墙的架构中,区域划分是一个关键的设计要素,通常包含四个主要区域。首先是Trust区域,这个区域内的网络被赋予高度信任,一般用于标识内部用户所在的网络环境。其次是DMZ区域,该区域的网络信任度处于中等水平,主要用于部署内部服务器。再来是Untrust区域,这个区域代表不受信任的网络,通常映射到如互联网等不安全的外部网络。最后是Local区域,这是一个特殊的安全区域,代表防火墙设备本身,所有由防火墙主动发起的数据包均被视为从Local区域发出,而所有需要防火墙响应并处理的数据包则被归为Local区域接收。具体来说,当数据包通过防火墙接口传输至其他网络时,其目标安全区域即为该接口所属的安全区域;当数据包抵达防火墙设备本身时,其目标安全区域则为Local区域。
防火墙安全级别的设定:每个安全区域都被分配了一个独特的安全级别,该级别通过1到100的数值进行量化,数值越高表示该区域内的网络越值得信赖。对于默认设置的安全区域,其安全级别是预先确定的。例如,Local区域的安全级别设定为100,Trust区域为85,DMZ区域为50,而Untrust区域则为5。在默认配置下,只有当数据包在不同的安全区域之间传输时,防火墙才会执行安全检查机制;而在同一安全区域内传输的数据包则不会触发安全检查。此外,华为的防火墙产品还支持对同一安全区域内经过防火墙的数据流进行安全检测。默认情况下,所有区域之间均禁止数据包的传输,但管理员可以根据实际需求配置特定的安全策略,以允许某些数据流通过防火墙。
本文旨在详细介绍华为防火墙在常用运维操作中的指令使用方法。更深入的内容将在后续部分进行阐述。
一、会话查询
使用场景:针对能够建立会话的数据包,可以通过检查会话是否成功创建以及会话的详细信息来判断数据包是否顺利通过了防火墙。
命令介绍:display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } }
首先,需要确认该五元组是否成功建立了会话。对于TCP、UDP、ICMP(仅echo request和echo reply能够建立会话)、GRE、ESP、AH等协议的数据包,防火墙会自动建立会话;而其他协议如SCTP、OSPF、VRRP等则不会建立会话。如果会话已经建立,并且后续数据包持续触发会话刷新,通常可以排除防火墙故障的可能性,除非存在来回路径不一致的情况,这种情况下可能需要关闭状态检测功能。如果没有找到对应的五元组会话,或者对于不会建立会话的协议数据包,则需要继续进行后续的故障排查步骤。
Global:表示在进行NAT操作时转换后的IP地址。
Inside:表示在进行NAT操作时转换前的IP地址。
使用示例
二、接口状态检查
使用场景:当数据包无法正常传输时,首先应检查接口状态,以排除因接口故障(如接口down)导致的传输中断问题。
命令介绍:display ip interface brief
检查接口的物理层和协议层状态,正常情况下,三层接口的物理层(Physical)和协议层(Protocol)都应处于up状态。如果出现down状态,应检查网线连接是否正常,以及网线(光纤、光模块)本身是否存在问题,必要时更换网线(光纤、光模块)进行测试。
使用示例
三、接口统计信息检查
使用场景:当发现数据包传输性能下降或ping操作出现丢包现象时,可以检查接口统计信息,以确认接口是否存在丢包问题。
命令介绍:display interface [ interface-type [interface-number] ]
检查接口下是否存在error,确认CRC/ collisions是否有所增加。如果出现增长,应检查接口的双工模式和速率是否与对端设备保持一致。
使用示例
四、防火墙系统统计查看
使用场景:通过查看防火墙系统统计信息,可以获得各种数据包的统计值,以及各种丢包情况的相关信息。
命令介绍:display firewall statistic system table
查看当前系统的总会话数,以及TcpSession、UDPSession、ICMP session这三项统计值。查看TCP半连接数,CurHalfCon统计值即为半连接数,通过该值可以判断半连接数是否过多,是否受到syn-flood攻击的影响。查看防火墙转发TCP业务是否丢包,使用RcvTCPpkts、RcvTCPbytes、PassTCPpkts、PassTCPOcts统计值,正常情况下Pass和Rcv的数值差异不会很大。会话创建是否失败。根据发送数据包的类别查看是否存在丢包,从这些统计信息中可以分析出是否存在因攻击防范、包过滤等引起的丢包,以及根据接收到的ICMP/UDP/TCP报文数量和转发数量计算防火墙丢弃的报文数量。
五、设备运行状况查看
使用场景:当发现设备的告警灯亮起或其他异常情况(如接口无法UP)时,可以查看设备的运行状况,以判断主控板、接口卡等组件是否正常工作。如果发现任何器件显示故障,应尽快进行分析。
命令介绍:display device
使用示例
六、内存使用率查看
使用场景:当防火墙自身某些业务运行不稳定时,可以查看内存使用率,以判断是否因内存消耗过多导致问题。内存占有率不应过高。当超过80%时,需要分析当时的路由表容量和其他防火墙自身相关业务。
命令介绍:display memory-usage
使用示例
七、CPU使用率查看
使用场景:CPU占有率应保持正常水平,与当前开展的业务类型和转发流量相匹配。当超过60%时,应分析当时的业务流量。通常CPU使用率与流量关系不大,主要与业务类型有关,一般来说,软件IPSEC/L2TP/ASPF/NAT ALG等业务对CPU资源的消耗较大。
命令介绍:display cpu-usage
使用示例
八、设备整体情况检查
使用场景:当发生硬件故障时,可以查看各器件信息,以判断异常问题的具体原因。
命令介绍:display health
使用示例
九、告警信息查看
使用场景:当发现设备的告警灯亮起时,或者在日志中发现与风扇、硬件等相关信息时,可以查看告警信息,以确定问题的具体原因。
命令介绍:display alarm active
使用示例
十、日志查看
使用场景:在发生故障后,可以查看日志,以查找与之前发生过的故障和当前故障相关的信息,从而定位故障原因。从日志中可以看到接口UP/DOWN、主备切换、攻击事件、命令行执行记录等信息。
命令介绍:display logbuffer
使用示例
备注:通过指令display logbuffer level error可以查看出错的日志信息。
十一、路由检查
使用场景:当设备接口UP时,但如果无法ping通远端设备或PC,可以检查路由表项是否正常。
命令介绍:display ip routing-table
使用方法
使用命令display ip routing-table查看防火墙fib表是否有相应的路由,并检查是否正确。对于动态路由,请使用display ospf peer、display ospf brief等ospf命令检查ospf是否正常;对于静态路由,使用display current-configuration | include ip route-static命令检查是否添加了相应的静态路由。
使用示例
十二、诊断信息收集
使用场景:当无法确定故障原因时,使用命令display diagnostic-information收集防火墙诊断信息(双机组网取两台设备的诊断信息),并第一时间联系华为工程师。在条件允许的情况下,在防火墙上下行两侧同时进行镜像抓包。
命令介绍:display diagnostic-information
使用方法