您可以在 Edge 上執行遠端診斷測試,以收集防火牆診斷記錄。
對於執行 3.4.0 版或更新版本 (也已啟用可設定狀態的防火牆) 的 Edge,您可以使用下列遠端診斷測試來取得防火牆診斷資訊:
- 排清防火牆工作階段 (Flush Firewall Sessions) - 執行此測試以重設防火牆中已建立的工作階段。在 Edge 上執行此測試不僅會排清防火牆工作階段,而且會主動為 TCP 型工作階段傳送 TCP RST。
備註: 如果您要排清 IPv6 防火牆工作階段,請從新的 Orchestrator UI 中執行 排清防火牆工作階段 (Flush Firewall Sessions) 測試。
- 列出作用中防火牆工作階段 (List Active Firewall Sessions) - 執行此測試以檢視作用中防火牆工作階段的目前狀態 (最多為 1000 個工作階段)。您可以使用篩選器來限制傳回的工作階段數:來源和目的地 IP 位址、來源和目的地連接埠以及區段。
備註: 您無法查看遭拒絕的工作階段,因為其並非作用中的工作階段。若要疑難排解這些工作階段,您將需要檢查防火牆記錄。備註: 可從新的 Orchestrator UI 中檢視 IPv6 防火牆工作階段資訊。若要檢視 IPv6 防火牆工作階段資訊,您必須從新的 Orchestrator UI 中執行 列出作用中防火牆工作階段 (List Active Firewall Sessions) 測試。遠端診斷輸出會顯示下列資訊:[區段名稱 (Segment name)]、[來源 IP (Source IP)]、[來源連接埠 (Source Port)]、[目的地 IP (Destination IP)]、[目的地連接埠 (Destination Port)]、[通訊協定 (Protocol)]、[應用程式 (Application)]、[防火牆原則 (Firewall Policy)]、任何流量的目前 TCP 狀態、[已接收/已傳送的位元組 (Bytes Received/Sent)] 以及 [持續時間 (Duration)]。有 11 個不同的 TCP 狀態,如 RFC 793 中所定義:
- LISTEN - 表示正在等待來自任何遠端 TCP 和連接埠的連線要求。(此狀態不會顯示在遠端診斷輸出中)。
- SYN-SENT - 表示在已傳送連線要求後,等待相符的連線要求。
- SYN-RECEIVED - 表示在接收到及傳送連線要求後,等待確認連線要求確認。
- ESTABLISHED - 表示開放式連線,接收到的資料可以傳遞給使用者。連線的資料傳輸階段狀態正常。
- FIN-WAIT-1 - 表示正在等待遠端 TCP 的連線終止要求,或確認先前已傳送的連線終止要求。
- FIN-WAIT-2 - 表示正在等待來自遠端 TCP 的連線終止要求。
- CLOSE-WAIT - 表示正在等待來自本機使用者的連線終止要求。
- CLOSING - 表示正在等待來自遠端 TCP 的連線終止要求確認。
- LAST-ACK - 表示正在等待確認先前已傳送至遠端 TCP 的連線終止要求 (包括確認其連線終止要求的確認)。
- TIME-WAIT - 表示正在等待經過足夠的時間,以確保遠端 TCP 接收到對其連線終止要求的確認。
- CLOSED - 表示根本沒有連線狀態。
如需如何在 Edge 上執行遠端診斷的詳細資訊,請參閱遠端診斷。