问
防火墙网安告警做不出来,而且总是一直掉线网安那边
5小时前提问
- 0关注
- 0收藏,57浏览
第1步:基础连通性检查
1.1 网络连通性测试
# 在防火墙上测试到网安平台的连通性
ping <网安平台IP>
telnet <网安平台IP> <端口> # 常见端口: 514(syslog), 6514(secure-syslog), 8443(https)
# 检查防火墙路由
show route
show interface1.2 常见网络问题原因
问题 | 检查点 |
|---|---|
路由不通 | 防火墙到网安平台的路由 |
端口被阻挡 | 中间安全设备/策略 |
MTU不匹配 | 大包分片问题 |
网络抖动 | 持续ping测试延迟和丢包 |
第2步:协议与认证配置检查
2.1 确认对接协议
常见对接协议及检查点:
协议 | 端口 | 常见问题 |
|---|---|---|
Syslog | UDP 514 | 无连接确认,易丢包 |
Secure Syslog | TCP 6514 | 证书问题,TLS版本不匹配 |
FTP | 21 | 被动模式/主动模式配置 |
SFTP | 22 | SSH密钥认证问题 |
HTTPS | 443/8443 | 证书信任链,双向认证 |
2.2 证书相关问题(TLS协议常见)
# 检查证书状态(如果使用证书认证)
show vpn certificate
show vpn ca-certificate
# 测试证书有效性
openssl s_client -connect <网安平台IP>:6514 -showcerts证书常见问题:
- 证书过期 - 检查有效期
- CN不匹配 - 证书CN与连接地址不一致
- 根证书缺失 - 缺少中间CA或根证书
- TLS版本不兼容 - 1.0/1.1被禁用
第3步:防火墙侧配置检查
3.1 日志服务器配置
# 不同品牌防火墙检查命令示例
# FortiGate
show log fortianalyzer
show log fortianalyzer-setting
diagnose test application fortianalyzer 1
# Palo Alto
show log-collector
show log-collector deviceconfig system
# Check Point
cpconfig
# 或通过Web界面: Policies > Logs & Masters
# 华为/华三
display log-host
display info-center3.2 日志策略配置
确保以下日志类型被启用并发送:
日志类型 | 配置项 | 重要性 |
|---|---|---|
管理登录日志 | admin login/logout | 必需 |
安全策略日志 | security policy | 必需 |
威胁日志 | threat/attack | 必需 |
网络流量日志 | traffic/flow | 可选 |
系统事件日志 | system event | 可选 |
配置示例(命令行思路):
# 设置日志发送级别
set log level <level> # debug, info, warning, error
# 启用特定类型日志发送
set log <log-type> enable
set log destination <server> <type> enable第4步:网安平台侧排查
4.1 检查接收状态
在网安平台上检查:
- 设备管理列表 - 防火墙是否已注册
- 接收服务状态 - syslog/API服务是否运行
- 接收端口监听 - 确认端口在监听
# Linux平台检查 netstat -tulnp | grep <端口> ss -tulnp | grep <端口> # 检查防火墙规则 iptables -L -n
4.2 查看接收日志
检查网安平台接收到的原始日志:
# 查看syslog接收
tail -f /var/log/syslog
tail -f /var/log/messages
# 查看特定端口的连接
tcpdump -i any port <端口> -vvv第5步:数据流分析(最有效)
5.1 防火墙侧抓包
# 抓取到网安平台的数据包
tcpdump -i <出口接口> host <网安平台IP> and port <端口> -w /tmp/fw_to_soc.pcap
# 特定过滤
tcpdump -i any 'host <网安平台IP> and (port 514 or port 6514 or port 443)' -vvv5.2 分析要点
- 连接建立 - TCP三次握手是否完成?
- TLS握手 - 如果加密传输,TLS握手是否成功?
- 数据发送 - 是否有数据包发出?
- 连接保持 - 是否有FIN/RST异常断开?
5.3 使用Wireshark分析
过滤表达式示例:
tcp.port == 6514
ssl.handshake
tcp.flags.reset == 1
tcp.analysis.flags第6步:常见故障原因汇总
序号 | 故障现象 | 可能原因 | 解决方案 |
|---|---|---|---|
1 | 只有登录失败日志 | 证书认证失败 | 重新生成/导入证书 |
2 | 频繁掉线 | 会话保持时间短 | 调整keepalive时间 |
3 | 无攻击告警 | 日志策略未启用 | 启用威胁检测日志 |
4 | 无策略拒绝日志 | 策略日志级别低 | 设置策略动作为log |
5 | 延迟大/丢包 | 网络质量差 | 优化网络路径 |
三、紧急恢复步骤
临时方案:降低要求快速恢复
# 1. 切换到UDP syslog(简单但不可靠)
set log server <IP> protocol udp port 514
# 2. 降低加密要求(测试用)
set log server encryption none # 如果支持
# 3. 启用调试模式收集详细信息
set log level debug
diagnose debug enable
diagnose debug application <进程> -1分步验证法
- 先通UDP 514 - 确认基础网络和配置
- 再通TCP 514 - 确认TCP连通性
- 最后TLS 6514 - 解决证书问题
四、详细配置示例
FortiGate配置示例
# 查看当前配置
show log fortianalyzer
# 配置syslog服务器
config log syslogd setting
set status enable
set server "<网安平台IP>"
set port 514
set mode udp
set facility local7
set source-ip <防火墙源IP>
end
# 配置日志发送策略
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set multicast-traffic enable
set sniffer-traffic enable
set anomaly enable
set voip enable
set dlp-archive enable
set filter "category != traffic"
endPalo Alto配置示例
<!-- 通过Web界面或API配置 -->
<deviceconfig>
<system>
<log-settings>
<log-type>config</log-type>
<send-to-panorama>yes</send-to-panorama>
<send-to-syslog>
<name>SOC-Server</name>
<server>
<port>514</port>
<server>192.168.1.100</server>
<transport>UDP</transport>
</server>
</send-to-syslog>
</log-settings>
</system>
</deviceconfig>五、高级问题排查
5.1 查看防火墙内部状态
# 检查日志进程状态
get system performance status | grep log
diagnose sys top 5 10 # 查看进程资源
# 检查日志队列
diagnose test application logd 6
get log disk statistics
# 检查连接表
diagnose sys session list | grep <网安平台IP>5.2 启用详细调试
# FortiGate调试
diagnose debug application logd -1
diagnode debug application fnbamd -1 # 证书认证调试
# 实时查看发送的日志
diagnose log test六、联系支持前准备的信息
当需要联系防火墙或网安平台厂商支持时,准备以下信息:
- 拓扑信息:网络拓扑图,IP地址
- 配置信息:
- 防火墙日志服务器配置截图
- 网安平台接收配置
- 故障信息:
- 具体故障时间
- 故障前后的配置变更
- 诊断数据:
- ping/telnet结果
- tcpdump抓包文件
- 防火墙诊断信息
- 日志信息:
- 防火墙系统日志
- 网安平台接收日志
七、建议的排查顺序
- 立即检查:网络连通性 + 端口可达性
- 快速验证:改用UDP syslog测试
- 详细检查:证书/认证配置
- 深度分析:抓包分析数据流
- 厂商协助:提供完整诊断信息给厂商
您遇到的"只有登录失败"通常意味着认证失败后的重连循环。重点检查:
- 双向证书认证配置
- TLS版本兼容性
- 系统时间同步
- IP/域名是否与证书CN匹配
需要我帮您分析具体的防火墙型号和配置吗?您能提供更多信息的话,我可以给出更具体的命令。
monitor cpu-usage logging slot 1 cpu 0 interval 5 //开启周期性输出CPU利用率日志信功能,且时间间隔为5秒
monitor memory-usage logging slot 1 cpu 0 interval 10 // 开启周期性输出内存利用率日志信功能,且时间间隔为10秒
info-center source default loghost level debugging //将日志等级等于或者高于debugging的日志发送至日志主机
设备默认不会周期性的发送CPU以及内存的利用率
?????????因为网安设备那边需要保证四分钟以内要有syslog报文,不然设备会处于离线状态,所以我们可以设置让设备周期性的去发送一些报文从而保证设备处于在线状态
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论