飞塔防火墙常用命令集合
- 说明
CPU:系统管理、路由、新建会话、非FA2、NP2,NP4接口的流量处理等;
内存:运行系统软件,存储路由表、会话表、记录日志等;
Flash卡:存放Fort IOS版本、配置文件,系统运行事件日志;
CP芯片:内容处理芯片,病毒特征/IPS特征查找,IPSec VPN加解密等;
FA2、NP2、NP4芯片:网络处理芯片,同步复制已建立的会话后,独立处理转发流量,减少CPU消耗。
- 重启和切换
- 软切换 #diagnose sys ha reset-uptime
- 重启防火墙 #exec reboot (只重启主防火墙,将导致主备切换)
注:此命令单台防火墙生效,关闭接口则主备防火墙都生效。
- 查看设备系统状态
- 查看系统基本信息 #get sys status
hqwlf1000aep02 $ get sys status
Version: Fortigate-l000A 3. 00, build0668, 080514 Virus-OB: 8.631(2008-01-15 14:27)
Extended DB: 0.000(2003-01-01 00:00)
IPS-DB: 2.461(2008-01-18 11:23)
Serial-Number: FGT1KA3607500159
BIOS version: 04000004
Log hard disk: Not available
Hostname: hqwlf1000aep02
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 10
Virtual domains status: 1 in NAT mode, O in TP mode
Virtual domain configuration: disable
FIPS-C:C mode: disable
Current HA mode: a-p,master
Distribution: International
Branch point: 668
MR/Patch Information: MR6 Patch 2
System time: Sat Jan 21 17:05:01 2012
- 查看系统状态信息 #get sys performance status
CPU states: 0% user 1% system 0% nice 99% idle
CPU0 states: 0% user 1% system 0% nice 99% idle
Memory states: 21% used
Average network usage: 2304 kbps in 1 minute, 8573 kbps in 10 minutes, 7404 kbps in 30 minutes
Average sessions: 3224 sessions in 1 minute, 3013 sessions in 10 minutes, 3049 sessions in 30 minutes
Average session setup rate: 19 sessions per second in last 1 minute, 23 sessions per second in last 10 minutes, 22 sessions per second in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 135 days, 8 hours, 22 minutes
- 查看接口
- 查看单接口状态 #diagnose hardware deviceinfo nic 接口名
YC-JRFW-F30-03-I # diagnose hardware deviceinfo nic port1
Driver Name: NP2
Version: 0.92
Chip Revision: 2
BoardSN: N/A
Module Name: 310B
DDR Size: 256 MB
Bootstrap ID: 11
PCIX-64bit-@133MHz bus: 03:01.0
Admin: up, num=3, duration=1169463448
Current_HWaddr: 08:5b:0e:bb:c1:79
Permanent_HWaddr: 08:5b:0e:bb:c1:79
Link: up, 5
Speed: 1000Mbps
Duplex: Full
Rx Pkts: 2220629348
Tx Pkts: 923921960
Rx Bytes: 1933305856
Tx Bytes: 3349576413
MAC1 Rx Errors: 0
MAC1 Rx Dropped: 0
MAC1 Tx Dropped: 0
MAC1 FIFO Overflow: 0
MAC1 IP Error: 0
TAE Entry Used: 0
TSE Entry Used: 0
Host Dropped: 0
Shaper Dropped: 1454
EEI0 Dropped: 0
EEI1 Dropped: 0
EEI2 Dropped: 0
EEI3 Dropped: 0
IPSEC QFIFO Dropped: 0
IPSEC DFIFO Dropped: 0
PBA: 123/1019/251
Forwarding Entry Used: 0
Offload IPSEC Antireplay ENC Status: Disable
Offload IPSEC Antireplay DEC Status: Enable
Offload Host IPSEC Traffic: Disable
ses mask: 40027dcb
- 查看聚合接口状态 #diagnose netlink aggregate name 聚合接口名
- 关闭接口线速转发 #diagnose npu np2 fastpath-sniffer enable Port-Number
注:该配置只在工作机有效(diagnose 命令),当设备切换时,原备机没有这个配置
- 查看HA状态
- 登录备墙,需要先用admin登录到主防火墙后执行 #exec ha manage 0 或1
- 查看主备机配置是否同步 #diag sys ha showcsum
查看主备机输出是否一致,如果一致则表明配置已同步。
- 查看HA状态 # get sys ha status
- 查看会话
- 查看会话 # diagnose sys session stat 或diagnose sys session full-stat
YC-JRFW-F30-03-I # diagnose sys session stat
misc info: session_count=2786 setup_rate=38 exp_count=0 clash=1
memory_tension_drop=0 ephemeral=0/114688 removeable=0
delete=0, flush=0, dev_down=0/0
TCP sessions:
562 in ESTABLISHED state
20 in SYN_SENT state
4 in SYN_RECV state
69 in FIN_WAIT state
6 in TIME_WAIT state
19 in CLOSE state
77 in CLOSE_WAIT state
firewall error stat:
error1=00000000
error2=00000000
error3=00000000
error4=00000000
tt=00000000
cont=00000000
ids_recv=00000000
url_recv=00000000
av_recv=00000000
fqdn_count=00000001
tcp reset stat:
syncqf=60279 acceptqf=0 no-listener=8108 data=0 ses=300 ips=0
global: ses_limit=0 ses6_limit=0 rt_limit=0 rt6_limit=0
session_count 为会话总数;setup_rate 为每秒新建会话数
- 查看系统ARP表项
1、查看ARP表 # get sys arp
YC-JRFW-F30-03-I # get system arp
Address Age(min) Hardware Addr Interface
172.16.0.1 0 08:5b:0e:f1:60:3c port1
172.16.0.2 0 00:90:0b:3d:73:7c port1
172.16.0.18 1 20:47:47:8c:a5:cc V400
172.16.0.21 0 00:0c:29:44:4b:97 V400
172.16.0.23 0 00:0c:29:d1:c1:00 V400
172.16.0.26 0 20:47:47:8c:a5:20 V400
172.16.0.34 0 70:4c:a5:11:3b:78 MZNJZH
172.16.0.38 0 70:4c:a5:67:3d:52 XQFZH
- 查看丰富的ARP信息 # diagnose ip arp list
YC-JRFW-F30-03-I # diagnose ip arp list
index=10 ifname=port1 172.16.0.1 08:5b:0e:f1:60:3c state=00000002 use=1 confirm=1770 update=1121 ref=1419
index=10 ifname=port1 172.16.0.2 00:90:0b:3d:73:7c state=00000008 use=590 confirm=3017 update=151 ref=5
index=25 ifname=V310 255.255.255.255 ff:ff:ff:ff:ff:ff state=00000040 use=148831 confirm=154831 update=148831 ref=1
index=28 ifname=V313 255.255.255.255 ff:ff:ff:ff:ff:ff state=00000040 use=357300 confirm=363300 update=357300 ref=1
index=31 ifname=V101 255.255.255.255 ff:ff:ff:ff:ff:ff state=00000040 use=86844 confirm=92844 update=86844 ref=1
index=36 ifname=V106 255.255.255.255 ff:ff:ff:ff:ff:ff state=00000040 use=4748 confirm=10748 update=4748 ref=1
index=41 ifname=To-MP-WBK 0.0.0.0 state=00000040 use=32246 confirm=38246 update=32246 ref=1
index=43 ifname=To-ZH-VPN 0.0.0.0 state=00000040 use=334121 confirm=340121 update=334121 ref=5
index=29 ifname=V400 172.16.0.18 20:47:47:8c:a5:cc state=00000004 use=3622 confirm=3622 update=1385 ref=1
index=48 ifname=支行 0.0.0.0 state=00000040 use=87126307 confirm=87132307 update=87126307 ref=1
index=29 ifname=V400 172.16.0.21 00:0c:29:44:4b:97 state=00000004 use=7036 confirm=7036 update=764 ref=3
index=29 ifname=V400 172.16.0.23 00:0c:29:d1:c1:00 state=00000002 use=557 confirm=480 update=480 ref=70
index=29 ifname=V400 172.16.0.26 20:47:47:8c:a5:20 state=00000008 use=13 confirm=2540 update=303 ref=5
- 清系统ARP # exec clear system arp table
- 查看当前系统进程
- 查看系统进程 #diagnose sys top 5 99
- 杀进程 #diagnose sys kill 11 进程ID 或 # dia sys kill 9 进程ID
注意:kill 11 有日志,kill 9 没有日志。
- IPsec 相关调试
- 观察IPSec 芯片是否正常 #diagnose vpn ipsec status
正常状态,能看到CP5和CPU
非正常状态,只能看到CP5
- 观察IPSec隧道状态 # diagnose vpn tunnel list
- 重置指定的某个IPSec隧道 # diagnose vpn tunnel flush <阶段1名称>
- 激活指定的某个IPSec隧道 # diagnose vpn tunnel up <阶段2名称>
- 观察隧道协商过程
# diagnose debug enable
# diagnose debug application ike 255
- 关闭IKE协商调试命令
# diagnose debug application ike 0
debug enable 命令在管理员登录后会自动关闭。
飞塔防火墙常用命令集合相关推荐
- 数据包构造分析工具Hping3常用命令集合大学霸IT达人
数据包构造分析工具Hping3常用命令集合大学霸IT达人 Hping是一个命令行下使用的TCPIP数据包组装分析工具.该工具的命令模式很像Unix下的ping命令.它不止能发送ICMP回应请求,还支持 ...
- android系列:第一篇 android开发常用命令集合,代码目录简介
下面整理了android开发常用命令集合如adb命令,adb over wifi,jgrep等代码搜索命令,编译环境变量配置,lunch平台选择,mm模块编译,godir代码路径跳转,log.v()等 ...
- 基于ARP的网络扫描工具netdiscover常用命令集合大学霸IT达人
基于ARP的网络扫描工具netdiscover常用命令集合大学霸IT达人 ARP是将IP地址转化物理地址的网络协议.通过该协议,可以判断某个IP地址是否被使用,从而发现网络中存活的主机.netdisc ...
- 批量探测工具fpingping常用命令集合大学霸IT达人
批量探测工具fpingping常用命令集合大学霸IT达人 批量探测工具fpingping是各个系统自带的基于ICMP协议的主机探测工具.但该工具一次只能检测一个主机,不满足渗透测试批量探测的需要.fp ...
- ARP探测目标工具arping常用命令集合大学霸IT达人
ARP探测目标工具arping常用命令集合大学霸IT达人 ARP协议是一种将IP地址转化物理地址的协议.通过ARP请求包和响应包,可以判断一个IP地址是否在使用.同理,通过该协议可以探测局域网主机是否 ...
- ARP监控工具ARPalert常用命令集合大学霸IT达人
ARP监控工具ARPalert常用命令集合大学霸IT达人 ARP协议用于IP转化为MAC地址.由于ARP协议的缺陷,导致被用于中间人攻击.ARPalert是一款专用的ARP监控工具.该工具可以对网络中 ...
- SSL_TLS快速扫描器SSLScan常用命令集合大学霸IT达人
SSL_TLS快速扫描器SSLScan常用命令集合大学霸IT达人 SSLScan是一个SSL/TLS快速扫描器,可自动识别SSL配置错误.过期协议.过时Chipher Suite和Hash算法等.默认 ...
- Wifitap是一个WiFi注入工具集常用命令集合大学霸IT达人
Wifitap是一个WiFi注入工具集常用命令集合大学霸IT达人 该工具集允许任何应用程序都可以发送和接收IP数据包,使用802.11流量捕获和注入,并通过WiFi网络简单配置接口wj0.Wifita ...
- 无线密码离线破解工具Pyrit常用命令集合大学霸IT达人
无线密码离线破解工具Pyrit常用命令集合大学霸IT达人 Pyrit是一款可以使用GPU加速的无线密码离线破解工具.该工具提供了大量的命令,可以用来实现不同的功能.使用Pyrit工具中的命令,可以通过 ...
最新文章
- (转) 使用Speech SDK 5.1文字转音频
- 批处理-批量拉取git代码
- If-Modified-Since和If-None-Match
- Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC
- 【HDU - 1564 】Play a game (博弈问题,找规律,奇偶博弈)
- LeetCode 2040. 两个有序数组的第 K 小乘积(嵌套二分查找)
- Linux / Unix Command: getprotobyname
- P3254 圆桌问题
- 【OpenCV应用】python处理行李图像匹配项目——图像(简单)清晰化
- C语言实现井子格游戏
- 有关libeva的使用说明 - 登录和登出操作
- oracle数据库执行sql很慢
- 【Codeforces Round #291 (Div. 2) D】R2D2 and Droid Army【线段树+二分】
- GIS+BIM专题二:SuperMap对接DGN数据流程
- 网易云音乐android变臃肿,网易云音乐版权少,为什么用户还能突破8亿??
- Mikrotik ROS软路由设置上网方式(三)
- 软件项目经理应具备的素质和条件_项目经理应具备的素质与能力
- yarn启动vue项目
- Faceted project metadata file ... could not be read.
- VS 2019 点击页面自动定位到解决方案资源管理器目录位置