您可以在 Edge 上运行远程诊断测试以收集防火墙诊断日志。
对于运行 3.4.0 或更高版本并且还启用了有状态防火墙的 Edge,您可以使用以下远程诊断测试以获取防火墙诊断信息:
- 刷新防火墙会话 (Flush Firewall Sessions) - 运行该测试以从防火墙中重置建立的会话。在 Edge 上运行该测试不仅会刷新防火墙会话,而且还会主动为基于 TCP 的会话发送 TCP RST。
注: 如果要刷新 IPv6 防火墙会话,请从新的 Orchestrator UI 中运行 刷新防火墙会话 (Flush Firewall Sessions) 测试。
- 列出活动防火墙会话 (List Active Firewall Sessions) - 运行该测试以查看活动防火墙会话的当前状态(最多为 1000 个会话)。您可以使用以下筛选器限制返回的会话数量:源和目标 IP 地址、源和目标端口以及分段。
注: 您看不到拒绝的会话,因为它们不是活动会话。要对这些会话进行故障排除,您需要检查防火墙日志。注: 可以从新的 Orchestrator UI 中查看 IPv6 防火墙会话信息。要查看 IPv6 防火墙会话信息,您必须从新的 Orchestrator UI 中运行 列出活动防火墙会话 (List Active Firewall Sessions) 测试。远程诊断输出显示以下信息:分段名称、源 IP、源端口、目标 IP、目标端口、协议、应用程序、防火墙策略、任何流量的当前 TCP 状态、接收/发送的字节数以及持续时间。在 RFC 793 中定义了 11 种不同的 TCP 状态:
- LISTEN - 表示正在等待来自任何远程 TCP 和端口的连接请求。(在远程诊断输出中不显示该状态。)
- SYN-SENT - 表示在发送连接请求后正在等待匹配的连接请求。
- SYN-RECEIVED - 表示在接收和发送连接请求后正在等待确认连接请求。
- ESTABLISHED - 表示打开的连接,可以将接收的数据传送给用户。连接的数据传输阶段的正常状态。
- FIN-WAIT-1 - 表示正在等待来自远程 TCP 的连接终止请求,或确认以前发送的连接终止请求。
- FIN-WAIT-2 - 表示正在等待来自远程 TCP 的连接终止请求。
- CLOSE-WAIT - 表示正在等待来自本地用户的连接终止请求。
- CLOSING - 表示正在等待确认来自远程 TCP 的连接终止请求。
- LAST-ACK - 表示正在等待确认以前发送到远程 TCP 的连接终止请求(包括确认其连接终止请求)。
- TIME-WAIT - 表示等待足够的时间,以确保远程 TCP 收到其连接终止请求确认。
- CLOSED - 表示根本没有连接状态。
有关如何在 Edge 上运行远程诊断的更多信息,请参阅远程诊断。