此测试的目的是什么

通过此测试,您可以查看活动防火墙会话的当前状态(最多为 1000 个会话)。您可以按源、目标 IP 和端口以及分段进行筛选,以限制返回的会话数量。
注: 可以从新的 Orchestrator UI 中查看 IPv6 防火墙会话信息。要查看 IPv6 防火墙会话信息,您必须从新的 Orchestrator UI 中运行 列出活动防火墙会话 (List Active Firewall Sessions) 测试。

何时可以运行此测试

验证允许还是阻止会话。如果允许,会话将显示在输出中。此外,您还可以查看会话的当前状态。

有关如何在 Edge 上运行远程诊断测试的说明,请参阅在 Edge 上运行远程诊断测试

测试输出中要检查的内容

在所需的 Edge 上运行 列出活动防火墙会话 (List Active Firewall Sessions) 测试。以下是测试输出的示例:
您可以在 监控 (Monitor) > 防火墙日志 (Firewall logs) 下验证拒绝的防火墙流量。
“远程诊断”(Remote Diagnostics) 输出显示以下信息:
字段 描述
分段 (Segment) 指定 Edge 在其中处理防火墙会话的分段。您还可以根据特定分段筛选输出。
源 IP (Src IP) 指定启动防火墙会话的源 IP。
目标 IP (Dst IP) 指定防火墙会话的目标 IP。
协议 (Protocol) 指定防火墙会话流量使用的协议。
源端口 (Src Port) 指定防火墙会话流量的源端口。
目标端口 (Dst Port) 指定防火墙会话流量的目标端口。
应用程序 (Application) 指定由应用程序引擎/DPI 引擎标识的应用程序。
防火墙策略 (Firewall Policy) 指定配置的防火墙规则之间与会话匹配的防火墙规则。
TCP 状态 (TCP State) 指定会话的当前 TCP 状态。在输出中,您将看到任何流量的当前 TCP 状态。在 RFC 793 中定义了 11 种不同的 TCP 状态:
  • SERVER_LISTEN - 表示 Edge 上 TCP FSM 的初始状态。此状态不会显示在远程诊断输出中,因为在为流量的第一个数据包创建会话后,这即是默认状态。如果为 SYN,则会立即变为 SYN_SENT 状态。
  • SYN_SENT - 当您看到从客户端到服务器的连接请求 SYN 时,会话将变为该状态。
  • SYN_RECEIVED - 表示从服务器端收到 SYN+ACK 时的状态。
  • ESTABLISHED - 表示来自客户端的 3 路握手完成 ACK 之后的状态。会话现已准备好进入数据传输阶段。
  • CLIENT_FIN - 在从客户端收到 FIN 后,会从 ESTABLISHED 状态转换到 CLIENT_FIN 状态。在此状态下,仅允许从客户端执行 FIN 或 ACK 重新传输。但是,在服务器端中,允许所有数据包,但 FIN 除外,FIN 会将状态变为 CLOSING。
  • SERVER_FIN - 从服务器端收到 FIN 后,会从 ESTABLISHED 状态转换为 SERVER_FIN 状态。在此状态下,仅允许从服务器端执行 FIN 或 ACK 重新传输。但是,在客户端中,允许所有数据包,但 FIN 除外,FIN 会将状态变为 CLOSING。
  • CLOSING - 表示从服务器和客户端收到 FIN 时的状态。在此状态下,仅允许 SYN 数据包重新打开会话。
  • CLOSED - 表示从服务器或客户端收到 RST 数据包的状态。在此状态下,仅允许用于重新打开会话的 SYN 数据包,而丢弃任何其他数据包。
发送的字节数 (Bytes Sent) 指定从源 IP 到目标 IP 的防火墙会话流量(以字节为单位)。
接收的字节数 (Bytes Received) 指定从目标 IP 到源 IP 的防火墙会话流量(以字节为单位)。
持续时间 (Duration) 指定防火墙会话的期限(以秒为单位)。