• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙抓包案例

2024-07-03提问
  • 0关注
  • 0收藏,637浏览
粉丝:0人 关注:0人

问题描述:

防火墙抓包案例麻烦分享一下谢谢,用acl的方式

最佳答案

粉丝:13人 关注:8人

您好,请知:

以下是防火墙抓包的案例,请参考:

NGFW中低端防火墙、LB产品(假设有虚墙的情况下):

1. 抓包在根墙抓包,抓包使用的ACL不加VPN实例。

2. Debug在虚墙进行,抓包使用的ACL带源VPN实例。

2.1 ACL写法示例:

rule permit icmp   vpn-instance x   source x.x.x.x x   destination x.x.x.x x
                                          VPN实例


高端防火墙(假设有虚墙的情况下):

1. 抓包需要配置流镜像把报文镜像到blade口, traffic classifier 使用的ACL不加VPN实例。该操作在根墙物理口下操作。

如果要抓虚墙的报文,需要把报文镜像到根墙的blade接口上,登录根墙的web抓包。

示例:

#
acl advanced 3998
 rule 0 permit ip source 10.1.1.1 0 destination 2.2.2.2 0
 rule 5 permit ip source 2.2.2.2 0 destination 10.1.1.1 0
#
traffic classifier jx operator and
 if-match acl 3998
#
traffic behavior jx
 mirror-to interface Blade1/4/0/1    //1---chassis编号,4---slot编号,单台设备应该为4/0/1
#
qos policy jx
 classifier jx behavior jx
#
在物理接口下发QOS策略,并添加enhancement参数。
如:
interface Ten-GigabitEthernet2/3/0/1
 port link-mode route
 qos apply policy jx inbound enhancement
 qos apply policy jx outbound enhancement

2. debug 在虚墙进行,ACL需要带源VPN实例。


注意事项:

1. 抓包前请在web界面把抓包参数调整到最大,防止出现多个报文不方便整理。对应命令:

 packet-capture max-bytes 4096
 packet-capture max-file-packets 1000
 packet-capture storage local limit 10240

2. 若不方便登录web进行抓包,可使用命令。抓包完成后可以在/pcap文件夹下通过FTP导出。

如下作为参考:

RBM_P[H3C]packet-capture ?
  max-bytes         Specify the maximum number of bytes to capture for a packet
  max-file-packets  Specify the maximum capture file size
  start             Start two-way packet capture 
  stop              Stop two-way packet capturing
  storage           Save packet files locally or to a remote server

 报文过少的话,手动停止(执行packet-capture stop命令 )后才能看到报文。


暂无评论

2 个回答
粉丝:237人 关注:8人

参考


暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明