深信服防火墙重启后ping不通问题
摘要:经测试,深信服在防火墙重启后会发生部分交换机及下联的服务器ping不通防火墙管理地址的情况。这个问题是因为网关交换机上关于防火墙管理地址的arp未更新导致的。 华为交换机可以通过全局下的reset arp interface Vlanif 31 ip 10.1.31.100重置。 H3C交换机上没有
阅读全文
posted @
2022-12-27 10:44
星痕1216
阅读(700)
推荐(1)
H3C路由器RT-MSR3620-X1与深信服防火墙 IPSec VPN TCP包大于MTU时的丢包问题
摘要:1.现状描述 北京出口路由器和天津的深信服防火墙通过IPSec实现内网互通。 有天津同事反馈通过内网使用北京的文件系统上传、下载文件的时候有上传失败或上传的速度极慢的情况;天津的业务系统通过IPSec上传数据也有速度慢和丢失数据的情况。 ping的情况如下 ping -l 2000 10.7.248
阅读全文
posted @
2022-10-31 16:33
星痕1216
阅读(6)
推荐(0)
Sangfor防火墙与第三方建立IPSec VPN
摘要:一. 第三方设备配置好IPSec VPN。 如下图 二. 深信服设备配置IPSec VPN 1.创建阶段一 2.创建阶段二 注:Sangfor上启用密钥完美向前保密(PFS)与DH算法 group2对应。 3.阶段一和阶段二配置完成后IPSec VPN即可建立。此时DLAN运行状态可显示,并可自动根
阅读全文
posted @
2021-11-02 16:55
星痕1216
阅读(7)
推荐(0)
Sangfor防火墙登录安全设置
摘要:1.web超时时间、连续输错密码锁定 2.管理员密码安全策略
阅读全文
posted @
2021-11-02 11:41
星痕1216
阅读(862)
推荐(0)
Sangfor防火墙抓包
摘要:1.tcpdump常用参数 -i 指定监听的网络接口; -c 截取指定数目的数据包; -n 不把网络地址转换成名字; -nn 不把端口和网络地址转换成名称; -a 将网络地址和广播地址转变成名字; -v 输出一个稍微详细的信息,如在ip包中包括ttl和服务类型的信息; -vv 输出详细的报文信息;
阅读全文
posted @
2021-06-30 11:35
星痕1216
阅读(655)
推荐(0)
Sangfor防火墙离线激活
摘要:1.连接防火墙 网线直连防火墙的管理口或ETH1口,浏览器访问https://10.251.251.251。用户名、密码均为admin。 2.激活防火墙 1)登录授权中心:https://x.sangfor.com.cn/xcentral/index.html#/license 2)根据订单号或者网
阅读全文
posted @
2021-06-22 15:49
星痕1216
阅读(1462)
推荐(0)
FortiGate防火墙办公网常用配置
摘要:1.建立主备机 2.配置端口 3.配置SD-WAN 4.新建上网路由 5.新建上网策略 6.建立与其他点的IPSec VPN或点对点专线
阅读全文
posted @
2020-12-01 16:17
星痕1216
阅读(1095)
推荐(0)
飞塔5.4和5.6版本IPSec互备冗余测试
摘要:主电信、备联通;测试方法:修改诚盈的IPSec,将阶段一电信的对端地址改为错误的。 方法一: 通过静态路由的管理距离:电信设置为10;联通为15。经测试,可以实现自动切换,且电信恢复后 可以切换回电信主用。 方法二: 路由一致的情况下,通过在电信链路建立link-monitor的方式。(注:在方法一
阅读全文
posted @
2019-12-25 15:36
星痕1216
阅读(688)
推荐(1)
飞塔创建IPSec
摘要:5.2和5.4版本飞塔建立IPSec VPN时,必须在两端添加完策略、路由后IPSec才会起来。
阅读全文
posted @
2019-11-04 15:05
星痕1216
阅读(476)
推荐(0)
山石防火墙IPSec VPN创建多个二阶段
摘要:1.场景描述 办公区使用山石防火墙与阿里云建立IPSec实现内网互通。办公区网段为10.11.0.0/16,阿里云网段为172.16.0.0/24、172.17.0.0/24、10.10.10.0/24 2.难点 由于对端不是山石,所以山石防火墙的一阶段代理ID需要改为手动。由于阿里云有多个网段,而
阅读全文
posted @
2019-07-26 18:49
星痕1216
阅读(7)
推荐(0)
区域之间PA、FortiGate内网互联专线、IPSec互备方案
摘要:网络拓扑: 现状描述: 办公区和IDC之间有防火墙互联的点对点专线实现内网互通,现需要两地防火墙构建IPSec VPN作为专线的热备链路。 解决方案: 飞塔侧 1.按照阶段一、阶段二建立IPSec VPN。 2.新建指向IPSec的路由,目的网段同专线,但路径长度高于专线。 #目的网段相同时,飞塔防
阅读全文
posted @
2019-07-23 10:54
星痕1216
阅读(2129)
推荐(0)
Hillstone与Palo alto防火墙IPSec VPN建立
摘要:Hillstone配置(版本:5.0) 1.1)创建阶段一提议 2)配置VPN对端 3)配置阶段二提议 4)配置隧道 5)查看IPSec VPN状态 到这一步后,两端的隧道就能建立起来了,如果没有建立起来,就需要检查配置了。 2.建立tunnel接口和独立zone。 1) 2) 3.新建隧道目的路由
阅读全文
posted @
2019-07-15 18:05
星痕1216
阅读(13)
推荐(0)
PA防火墙抓包结果显示重传(re-transmission)
摘要:问题起因: 部分内网服务器调用外网站点抓取图片时出现缓慢及超时现象。 由于是由内向外方向的访问,且通过的应用层设备只有防火墙;而且用其他网段测试机测试的时候发现并没有上述访问缓慢或超时。 从防火墙抓包发现并没有drop包,但是在transmit、firewall、received中均发现有大量的re
阅读全文
posted @
2019-06-21 11:40
星痕1216
阅读(1024)
推荐(0)
paloalto防火墙版本升级
摘要:1.准备工作:此部分不影响生产环境,可直接操作。 1)备份; 2)下载OS HA情况下,在主机下载完成后,选择 Sync To Peer(同步到对端)同步到备机。 2.安装更新 1)主备切换 在主机上 此时监控上会发现主机的端口都down掉,备机接起业务。备机、原主机Dashboard的高可用性显示
阅读全文
posted @
2019-04-24 18:38
星痕1216
阅读(2265)
推荐(1)
paloalto防火墙安装内容和软件更新
摘要:1.为了确保您始终不会受到最新威胁(包括尚未发现的威胁)的攻击,您必须确保防火墙始终具有 Palo Alto Networks 发布的最新更新内容及软件。 • Antivirus(防病毒)— 包括新的和更新的防病毒签名,其中包括 WildFire 签名和自动生成的命令和控制(C2) 签名。WildF
阅读全文
posted @
2019-04-24 18:34
星痕1216
阅读(1539)
推荐(0)
paloalto防火墙激活许可证和订阅
摘要:1.您必须激活购买的每项服务的许可证,然后才能开始使用防火墙保护网络通信。可用许可证和订阅服务包括 • 威胁阻止 — 提供防病毒、防间谍软件和漏洞保护。 • URL 筛选 — 可以创建安全策略,以便根据动态 URL 类别来允许或阻止对 Web 的访问。必须购买和安装其中一个受支持的 URL 筛选数据
阅读全文
posted @
2019-04-24 18:14
星痕1216
阅读(3163)
推荐(0)
paloalto防火墙注册
摘要:一、创建账户 1.注册网站: https://support.paloaltonetworks.com/Support/Index 2.单击 Activate My Account 3.输入 Your Email Address(您的电子邮件地址), Enter the characters fro
阅读全文
posted @
2019-04-24 17:57
星痕1216
阅读(1898)
推荐(0)
paloalto防火墙执行初始配置
摘要:1.默认情况下,防火墙的 IP 地址为 192.168.1.1,用户名/密码为 admin/admin。 为了安全起见,在继续执行其他防火墙配置任务之前,必须更改这些设置。必须从 MGT 接口(即使计划不使用此接口进行防火墙管理), 或使用直接连接到防火墙控制台端口的串行连接来执行这些初始配置任务。
阅读全文
posted @
2019-04-22 09:39
星痕1216
阅读(7355)
推荐(0)
浙公网安备 33010602011771号