Vous pouvez collecter les journaux de diagnostic de pare-feu en exécutant les tests de diagnostic à distance sur un dispositif Edge.
Pour les dispositifs Edge exécutant la version 3.4.0 ou une version ultérieure qui disposent également d'un pare-feu avec état activé, vous pouvez utiliser les tests de diagnostic à distance suivants pour obtenir des informations de diagnostic de pare-feu :
- Vider les sessions de pare-feu (Flush Firewall Sessions) : exécutez ce test pour réinitialiser les sessions établies à partir du pare-feu. L'exécution de ce test sur un dispositif Edge n'efface pas seulement les sessions de pare-feu, mais envoie activement un RST TCP pour les sessions basées sur TCP.
- Répertorier les sessions de pare-feu actives (List Active Firewall Sessions) : exécutez ce test pour afficher l'état actuel des sessions de pare-feu actives (maximum 1 000 sessions). Vous pouvez limiter le nombre de sessions renvoyées à l'aide de filtres : adresse IP source et de destination, port source et de destination et segment.
Note : Vous ne pouvez pas voir les sessions qui ont été refusées, car il ne s'agit pas de sessions actives. Pour dépanner ces sessions, vous devez vérifier les journaux de pare-feu.Le résultat des diagnostics à distance affiche les informations suivantes : Nom du segment (Segment name), Adresse IP source (Source IP), Port source (Source Port), Adresse IP de destination (Destination IP), Port de destination (Destination Port), Protocole (Protocol), Application, Stratégie de pare-feu (Firewall Policy), état TCP actuel de tout flux, Octets reçus/envoyés (Bytes Received/Sent) et Durée (Duration). Il existe 11 états TCP distincts, tels que définis dans RFC 793 :
- LISTEN : représente l'attente d'une demande de connexion à partir de n'importe quel TCP et port distant. (Cet état ne s'affiche pas dans les résultats de diagnostic à distance).
- SYN-SENT : représente l'attente d'une demande de connexion correspondante après avoir envoyé une demande de connexion.
- SYN-RECEIVED : représente l'attente d'un accusé de réception de la demande de connexion après avoir reçu et envoyé une demande de connexion.
- ESTABLISHED : représente une connexion ouverte, les données reçues peuvent être livrées à l'utilisateur. État normal de la phase de transfert de données de la connexion.
- FIN-WAIT-1 : représente l'attente d'une demande d'arrêt de connexion à partir du TCP distant ou un accusé de réception de la demande d'arrêt de connexion précédemment envoyée.
- FIN-WAIT-2 : représente l'attente d'une demande d'arrêt de connexion à partir du TCP distant.
- CLOSE-WAIT : représente l'attente d'une demande d'arrêt de connexion de l'utilisateur local.
- CLOSING : représente l'attente d'un accusé de réception de demande d'arrêt de connexion à partir du TCP distant.
- LAST-ACK : représente l'attente d'une confirmation de la demande d'arrêt de connexion envoyée précédemment au TCP distant (ce qui inclut un accusé de réception de sa demande d'arrêt de connexion).
- TIME-WAIT : représente un temps d'attente suffisant pour garantir que le TCP distant a reçu l'accusé de réception de sa demande d'arrêt de connexion.
- CLOSED : ne représente aucun état de connexion.
Pour plus d'informations sur l'exécution de diagnostics à distance sur un dispositif Edge, reportez-vous à la section Diagnostics à distance.