华为防火墙作为企业网络安全的核心设备,其配置与状态监控是运维人员的重要工作,掌握常用的查看命令能够帮助管理员快速定位问题、分析网络流量、验证策略有效性,从而确保防火墙稳定运行,以下从不同维度详细介绍华为防火墙的查看命令,涵盖系统状态、会话信息、策略配置、日志审计等核心功能,并结合实际场景说明命令的使用方法。
(图片来源网络,侵删)
系统基础信息查看
了解防火墙的运行状态是日常运维的基础,通过系统命令可以快速掌握设备资源、版本信息及基本运行参数。
设备状态查看
display device:查看设备硬件状态,包括板卡型号、CPU使用率、内存占用、温度等信息,若发现某块业务板CPU持续高于80%,需进一步分析流量或进程异常。display system status:显示系统整体运行状态,如设备角色(主/备)、运行时间、当前时间同步状态等,在主备场景下,该命令可快速确认主备状态是否正常。
资源使用情况
cpu-usage:进入系统视图后执行display cpu-usage,查看各进程CPU占用率,帮助定位高负载进程,若发现ipsec进程占用过高,可能是VPN隧道建立或加密解密流量过大导致。memory-usage:执行display memory-usage,查看内存分配情况,重点关注Used值是否接近Total,避免内存溢出导致设备故障。
网络接口与路由信息
display interface:查看所有接口的物理状态(如UP/DOWN)、带宽、流量统计(收发包字节数、错误包数),若发现某接口input errors持续增长,需检查链路质量或对接设备配置。display ip routing-table:查看路由表,确认路由条目是否正确,特别是默认路由、VPN路由等关键路由的存在与有效性。
安全策略与NAT配置查看
安全策略和NAT是防火墙的核心功能,通过查看命令可以验证策略匹配情况、NAT转换规则是否生效。
安全策略查看
display security-policy:查看所有安全策略的配置,包括源/目的区域、源/目的地址、服务、动作(允许/拒绝)、应用等,通过display security-policy session statistics可查看策略命中次数,若某策略命中率为0,需检查策略配置或流量路径是否正确。display security-policy match-id <策略ID>:查看特定策略的详细匹配信息,包括最后一次匹配时间、匹配的数据包数量等,适用于策略调优问题排查。
NAT规则查看
display nat session:查看当前NAT会话表,显示转换后的源/目的IP、端口、协议及对应的内网主机信息,若外部无法访问服务器,可通过该命令确认NAT会话是否建立,判断是策略问题还是NAT配置问题。display nat policy:查看NAT策略配置,包括地址池、服务类型、转换方式(源NAT/目的NAT)等,确认服务器映射的公网IP是否在地址池范围内,避免配置错误导致访问失败。
会话与流量监控
会话表是防火墙流量的实时体现,通过查看会话信息可以快速定位异常流量、网络连接问题。
会话表查看
display session table:查看所有会话条目,包括协议类型、源/目的IP、端口、会话状态(ESTABLISHED/TIME_WAIT)等,若发现大量SYN_SENT状态会话,可能是SYN Flood攻击,需进一步结合display attack-defense查看攻击防护状态。display session table [protocol tcp|udp|icmp] [src-ip <IP> | dst-ip <IP>]:按协议或IP过滤查看会话,缩小排查范围,排查某服务器无法访问时,可过滤dst-ip为服务器IP的会话,确认是否有正常连接。
流量统计与QoS信息
display traffic-statistic:查看接口流量统计,包括入方向/出方向的带宽利用率、包数、字节数等,支持按时间段统计,用于分析流量峰值和带宽使用情况。display qos policy:查看QoS策略配置,包括流量限速、优先级标记等,结合display qos interface查看接口QoS应用效果,确保关键业务流量得到保障。
日志与故障诊断
日志是故障排查的重要依据,华为防火墙支持查看系统日志、安全日志及告警信息。
日志查看
display logbuffer:查看设备日志缓冲区中的日志信息,包括登录日志、策略动作日志、设备状态变更日志等,若管理员无法登录,可通过该命令查看是否因登录失败次数过多被锁定。display logbuffer [severity <级别>]:按日志级别(如debugging、informational、error)过滤查看,快速定位高优先级问题。
VPN与隧道状态查看
display ipsec sa:查看IPSec安全联盟(SA)状态,包括加密算法、认证算法、密钥生命周期、收发包统计等,若VPN隧道频繁断开,可检查SA是否正常建立,或查看display ike sa确认IKE协商状态。display sslvpn session:查看SSL VPN用户会话信息,包括用户名、登录IP、在线时长、访问应用等,用于管理用户接入行为。
高可用性与集群状态
在防火墙集群部署场景下,需定期查看集群状态,确保主备切换正常。
display cluster state:查看集群状态,包括设备角色(主/备)、同步状态(正常/异常)、心跳链路状态等,若发现sync status为abnormal,需检查心跳链路配置或同步数据是否一致。display cluster session:查看集群会话同步情况,确认主备设备会话是否一致,避免因会话不同步导致业务中断。
相关问答FAQs
问题1:如何通过命令查看防火墙当前是否有被攻击的迹象?
解答:可通过以下命令综合判断:
display attack-defense:查看攻击防御功能状态,如是否开启防DDoS、SYN Flood等攻击的防护,并查看攻击统计信息(如被攻击的次数、类型)。display session table | include "INVALID":查看是否存在大量无效状态会话(如INVALID_TCP、INVALID_UDP),这可能表明存在扫描或异常连接行为。display logbuffer | include "attack":过滤包含“attack”关键词的日志,查看具体的攻击告警信息,如源IP、攻击类型、时间等。
问题2:当用户反馈无法访问外部网站时,如何通过命令快速排查问题?
解答:可按以下步骤逐步排查:
- 检查策略:执行
display security-policy,确认是否有允许用户访问外部的策略,且策略源/目的区域、地址、服务配置正确。 - 检查NAT:执行
display nat session,查看是否有对应的NAT会话,若无则检查NAT策略配置(display nat policy)及地址池状态。 - 检查路由:执行
display ip routing-table,确认是否有默认路由指向下一跳网关,且网关可达(可通过ping测试)。 - 检查会话:执行
display session table src-ip <用户IP>,查看用户是否有出站会话,若无则可能是策略拦截,需进一步分析日志(display logbuffer)。
通过以上命令的组合使用,管理员可以全面掌握华为防火墙的运行状态,快速定位并解决各类网络问题,确保企业网络的安全与稳定。
