对于硬件SSL VPN设备,可以通过U盘来恢复admin的密码,大概方法是将U盘格式化成FAT32分区,新建reset-password.txt文件,插入设备,重启设备,等设备重启完成后,拔下U盘查看是否生成reset-password.log文件,如果生成则恢复成功,有时候需要多试几次才会恢复成功。
但是对于VSSL,即虚拟化的VPN,截止最新的769R1版本,都不支持这种方式(虚拟机挂载U盘)来恢复密码。
如果要恢复VSSL的管理员密码,一般可以通过将VSSL的虚拟磁盘挂载到linux虚拟机上,然后查看ctrl_user.sfr,路径是/config/etc/sangfor/或者/sftmpfs/etc/sangfor/,这两个路径下的ctrl_user.sfr保存的密码是一样的,但是admin密码加密过了,可以联系深信服厂家人员解密。
配置备份文件里也会保存admin密码,如果有配置备份文件,也可以将配置文件交给深信服厂家获取admin密码。
现有一台深信服防火墙AF,内网口上启用多个vlan接口,每个vlan接口为该各自网段的网关,测试时总用户数大概在2000左右,正式上线后总用户数在7000左右。
测试时,使用一切正常,CPU利用率低于10%,内存利用率低于30%,网络也都正常。
但是用户陆续开机上线后,发现部分用户网络不通,到网关(防火墙上vlan接口)都不通。
在深信服AF上查看arp,发现总数是4095,与研发确认,发现深信服AF上arp表总数就是4096个,也就是在这种场景下,总用户也只能达到4000多点。
与研发商量后,预计要做定制包实现,但是用户强烈要求当天解决,后来多名研发确认只需要修改AF后台的某个参数即可实现对限制的放开,且修改该参数不影响业务。
对主备两台参数分别修改为20000后,已正常使用。
截止目前最新的AF版本8.0.26,都存在这个问题。当然在大规模的网络中,一般也很少会将内网用户的网关都启用在防火墙上,更多是将网关放在核心交换机上。对于这种少见的特殊的部署场景才将这个问题暴露了出来。
另外深信服AF的arp老化时间是15秒,且无法修改。并且AF上的vlan数量也有限制,限制为256个vlan,dhcp地址池也有限制,限制为1万个。不过对于vlan数量以及dhcp地址池的限制可以通过定制来解决。
具体修改方法,参见:修改linux系统的arp缓存数量的方法。
现有一网络,拓扑为出口深信服上网行为管理AC,下接深信服防火墙AF,AC的WAN口接公网,AC的LAN口接AF的WAN口,AF的LAN口为内网PC的网关。AC上做NAT代理上网,AF上不启用NAT。现在内网PC上网正常,ping百度也正常,但是tracert百度的时候,第一跳是AF的内网,第二跳第三跳都是星号*,第四跳就是AC的WAN口的网关,就是运营商的地址了。
在防火墙上去traceroute百度,前两跳仍然不显示。继续排查,发现是深信服AC的机制问题。
关于深信服AC跟踪路由不显示的说明如下:
1、AC设备主要用于上网管理和审计,为了避免被内网终端窥探,及出于网络安全考虑,默认不回复跟踪路由的请求,因此跟踪路由时会显示为*号。
2、截止标准版本上网行为管理12.0.42和全网行为管理13.0.7,AC暂不支持界面设置开启tracert显示AC IP地址功能
现有四台深信服防火墙AF,名称分别为A、B、C、D,A和B做成HA,C和D做成HA,都是路由模式,网口1都是带外管理口,并且都加入到了监视网口,双机热备配置的虚拟ID组都是默认的100,A、B两台带外管理口地址是192.168.1.1/24,C、D两台带外管理口地址是192.168.1.2/24。
做好配置后,发现192.168.1.1/24和192.168.1.2/24无法同时管理,当可以打开192.168.1.1控制台时,192.168.1.2则打不开,并且两个IP也无法同时ping通,当192.168.1.1可以ping通时,192.168.1.2则ping不通,当192.168.1.2可以ping通时,则192.168.1.1ping不通,在同网段设备上查看arp,发现192.168.1.1和192.168.1.2的MAC地址是一样的。
经确认,深信服防火墙AF做双机时,网卡的虚拟MAC是根据虚拟ID组和网口编号计算得出的,所以这个环境中,虚拟ID组都是100,网卡编号都是eth1口,它们的虚拟MAC就是一样的。
这种情况的处理办法非常简单,一是修改其中一个的虚拟ID组即可,还有一种办法是将A、B或者C、D的带外管理口不要加到网口监视中,并且每台带外管理口配置成-HA的不同的地址即可。
针对这个问题,建议厂家可以将虚拟MAC的计算方式复杂一点,比较加个随机数或者加个网关编号、硬盘ID等等,使得每个虚拟MAC都不相同。
有的环境下,尤其一个项目中,防火墙设备数量较多的情况下,建议修改默认的虚拟ID组,并且不同的HA设备采用的心跳口都设置成不同的网段,比如A、B用5.5.5.0/24段,C、D用6.6.6.0/24段,来避免一些问题。
需求1:对SSH远程管理进行限源,仅允许10.0.1.0/24,210.1.0.0/24段ip进行登录;
需求2:对SNMP管理进行限源,仅允许210.1.0.200-210.1.0.202这3个ip进行访问。
配置方法:
ssh登录后,输入:
sys
acl number 2000 match-order config
rule 1 permit source 10.0.1.0 0.0.0.255
rule 2 permit source 210.1.0.0 0.0.0.255
rule 3 deny source any
quit
acl number 2001 match-order config
rule 1 permit source 210.1.0.200 0
rule 2 permit source 210.1.0.201 0
rule 3 permit source 210.1.0.202 0
rule 4 deny source any
quit
ssh server acl 2000
snmp-agent community read public acl 2001
save
即可。
深信服防火墙AF管理员登录地址限制的配置方法是在控制台页面,网络——接口/区域,区域,在WEBUI下勾选允许管理此设备的IP选择指定的IP即可。如图:
对SNMP源地址限制,其实在配置SNMPd的时候就要配置主机或者网段,只需要在这里配置即可。如图:
zabbix监控深信服上网行为管理AC时,会需要用到上网行为管理的OID,以下就是截止2020年9月,最新的OID表格:
| CPU占用率,以百分比为单位 | 1.3.6.1.4.1.33333.1.1.1.0 |
| 设备类型(如M5000) | 1.3.6.1.4.1.33333.1.1.2.0 |
| 剩余内存,free+buffers,以KB为单位 | 1.3.6.1.4.1.33333.1.1.3.0 |
| 设备运行时间(UPTIME),以1/100秒为单位。 | 1.3.6.1.2.1.1.3.0 |
| 系统描述 | 1.3.6.1.2.1.1.1.0 |
| 设备型号 | 1.3.6.1.2.1.1.5.0 |
| 接口数量 | 1.3.6.1.2.1.2.1.0 |
| 接口描述信息(不同的x数值代表不同的接口,视设备回复而定) | 1.3.6.1.2.1.2.2.1.2.x |
| 接口接收总流量,以Byte为单位(不同的x数值代表不同的接口,视设备回复而定) | 1.3.6.1.2.1.2.2.1.10.x |
| 接口发送总流量,以Byte为单位(不同的x数值代表不同的接口,视设备回复而定) | 1.3.6.1.2.1.2.2.1.16.x |
| 接口接口状态(1-up,2-down)(不同的x数值代表不同的接口,视设备回复而定) | 1.3.6.1.2.1.2.2.1.8.x |
| 接口速率,以10bps为单位(不同的x数值代表不同的接口,视设备回复而定)(查看接口是千兆还是百兆) | 1.3.6.1.2.1.2.2.1.5.x |
关于深信服防火墙AF的OID可查看这篇文章:深信服防火墙AF的OID表https://www.eumz.com/2020-10/2064.html
zabbix监控深信服防火墙AF时,会需要用到防火墙的OID,以下就是截止2020年9月,最新的OID表格:
| Name | Description | OID |
| sysDescr | 系统描述 | .1.3.6.1.2.1.1.1 |
| sysContact | 联系 | .1.3.6.1.2.1.1.4 |
| sysName | 系统名 | .1.3.6.1.2.1.1.5 |
| sysLocation | 位置 | .1.3.6.1.2.1.1.6 |
| sysServices | 系统服务 | .1.3.6.1.2.1.1.7 |
| sysConnNum | 连接数 | .1.3.6.1.2.1.1.10 |
| sysCpuUsag | cpu占用率 | .1.3.6.1.2.1.1.11 |
| sysMemUsage | 内存占用率 | .1.3.6.1.2.1.1.12 |
| sysDiskUsage | 磁盘占用率 | .1.3.6.1.2.1.1.13 |
| sysNewConnTable | 新建连接表 | .1.3.6.1.2.1.1.14 |
| hrSystemDate | 系统日期 | .1.3.6.1.2.1.25.1.2 |
| hrSystemUptime | 运行的时间 | .1.3.6.1.2.1.25.1.1 |
系统信息
| Name | Description | OID |
| hrSystemUptime | 运行的时间 | .1.3.6.1.2.1.25.1.1 |
| hrSystemDate | 系统日期 | .1.3.6.1.2.1.25.1.2 |
| hrSystemNumUsers | 用户数 | .1.3.6.1.2.1.25.1.5 |
| hrSystemProcesses | 进程数 | .1.3.6.1.2.1.25.1.6 |
| hrSystemMaxProcesses | 最大进程数 | .1.3.6.1.2.1.25.1.7 |
| hrMemorySize | 系统内存 | .1.3.6.1.2.1.25.2.2 |
| hrStorageTable | 存储设备信息表(内存,磁盘的使用情况) | .1.3.6.1.2.1.25.2.3 |
| hrDeviceTable | 系统设备列表 | .1.3.6.1.2.1.25.3.2 |
| hrSWRunTable | 系统进程列表 | .1.3.6.1.2.1.25.4.2 |
CPU
| Name | Description | OID |
| ssCpuUser | 用户使用CPU情况 | .1.3.6.1.4.1.2021.11.9 |
| ssCpuSystem | 系统使用CPU情况 | .1.3.6.1.4.1.2021.11.10 |
| ssCpuIdle | 空闲CPU | .1.3.6.1.4.1.2021.11.11 |
| sysCpuUsag | cpu占用率 | .1.3.6.1.2.1.1.11.0 |
内存
| Name | Description | OID |
| memTotalSwap | 总swap分区 | .1.3.6.1.4.1.2021.4.3 |
| memAvailSwap | 可用swap分区 | .1.3.6.1.4.1.2021.4.4 |
| memTotalReal | 内存总量(真实内存) | .1.3.6.1.4.1.2021.4.5 |
| memAvailReal | 可用内存(真实内存) | .1.3.6.1.4.1.2021.4.6 |
| memTotalFree | 可用内存(真实内存+虚拟内存) | .1.3.6.1.4.1.2021.4.11 |
| memShared | 共享内存数量 | .1.3.6.1.4.1.2021.4.13 |
| memBuffer | buffer内存数量 | .1.3.6.1.4.1.2021.4.14 |
| memCached | Cache内存数量 | .1.3.6.1.4.1.2021.4.15 |
| hrMemorySize | 内存总量 | .1.3.6.1.2.1.25.2.2 |
| hrStorageTable | 存储设备信息表(内存,磁盘) | .1.3.6.1.2.1.25.2.3 |
硬盘
| Name | Description | OID |
| sysDiskUsage | 磁盘占用率 | .1.3.6.1.2.1.1.13 |
| hrStorageTable | 存储设备信息表(内存,磁盘) | .1.3.6.1.2.1.25.2.3 |
网口
| Name | Description | OID |
| ifNumber | 接口总数 | .1.3.6.1.2.1.2.1 |
| ifTable | 接口表(接口名,开启状态,MAC,出口流量,入口流量等) | .1.3.6.1.2.1.2.2 |
| ifIndex | 索引 | .1.3.6.1.2.1.2.2.1.1 |
| ifName | 网口 | .1.3.6.1.2.1.2.2.1.2 |
| ifType | 接口类型 | .1.3.6.1.2.1.2.2.1.3 |
| ifMtu | 接口MTU | .1.3.6.1.2.1.2.2.1.4 |
| ifPhysAddress | 接口mac地址 | .1.3.6.1.2.1.2.2.1.6 |
| ifAdminStatus | 所希望的接口工作状态 | .1.3.6.1.2.1.2.2.1.7 |
| ifOperStatus | 当前接口工作状态 | .1.3.6.1.2.1.2.2.1.8 |
| ifInOctets | 接口收到的字节总数 | .1.3.6.1.2.1.2.2.1.10 |
| ifOutOctets | 接口发送的字节总数 | .1.3.6.1.2.1.2.2.1.16 |
地址转换表
| Name | Description | OID |
| atTable | 地址转换表 | .1.3.6.1.2.1.3.1 |
IP
| Name | Description | OID |
| ipForwarding | 是否作为一个IP网关 | .1.3.6.1.2.1.4.1 |
| ipDefaultTTL | IP头中的Time To Live字段的值 | .1.3.6.1.2.1.4.2 |
| ipInReceives | IP层从下层接收的数据报总数 | .1.3.6.1.2.1.4.3 |
| ipInHdrErrors | 由于IP头出错而丢弃的数据报 | .1.3.6.1.2.1.4.4 |
| ipInAddrErrors | 地址出错(无效地址、不支持的地址和非本地主机地址)的数据报 | .1.3.6.1.2.1.4.5 |
| ipForwDatagrams | 已转发的数据报 | .1.3.6.1.2.1.4.6 |
| ipInUnknownProtos | 不支持数据报的协议,因而被丢弃 | .1.3.6.1.2.1.4.7 |
| ipInDiscards | 因缺乏缓冲资源而丢弃的数据报 | .1.3.6.1.2.1.4.8 |
| ipInDelivers | 由IP层提交给上层的数据报 | .1.3.6.1.2.1.4.9 |
| ipOutRequests | 由IP层交给下层需要发送的数据报,不包括ipForwDatagrams | .1.3.6.1.2.1.4.10 |
| ipOutDiscards | 在输出端因缺乏缓冲资源而丢弃的数据报 | .1.3.6.1.2.1.4.11 |
| ipOutNoRoutes | 没有到达目标的路由而丢弃的数据报 | .1.3.6.1.2.1.4.12 |
| ipReasmTimeout | 数据段等待重装配的最长时间(秒) | .1.3.6.1.2.1.4.13 |
| ipReasmReqds | 需要重装配的数据段 | .1.3.6.1.2.1.4.14 |
| ipReasmOKs | 成功重装配的数据段 | .1.3.6.1.2.1.4.15 |
| ipReasmFails | 不能重装配的数据段 | .1.3.6.1.2.1.4.16 |
| ipFragOKs | 分段成功的数据段 | .1.3.6.1.2.1.4.17 |
| ipFragFails | 不能分段的数据段 | .1.3.6.1.2.1.4.18 |
| ipFragCreates | 产生的数据报分段数 | .1.3.6.1.2.1.4.19 |
| ipAddrTable | IP地址表 | .1.3.6.1.2.1.4.20 |
| ipRouteTable | IP路由表 | .1.3.6.1.2.1.4.21 |
| ipNetToMediaTable | IP与物理地址转换表 | .1.3.6.1.2.1.4.22 |
| ipRoutingDiscards | 无效的路由项,包括为释放缓冲空间而丢弃路由项 | .1.3.6.1.2.1.4.23 |
TCP
| Name | Description | OID |
| tcpRtoAlgorithm | 重传时间算法 | .1.3.6.1.2.1.6.1 |
| tcpRtoMin | 重传时间最小值 | .1.3.6.1.2.1.6.2 |
| tcpRtoMax | 重传时间最大值 | .1.3.6.1.2.1.6.3 |
| tcpMaxConn | 可建立的最大连接数 | .1.3.6.1.2.1.6.4 |
| tcpActiveOpens | 主动打开的连接数 | .1.3.6.1.2.1.6.5 |
| tcpPassiveOpens | 被动打开的连接数 | .1.3.6.1.2.1.6.6 |
| tcpAttemptFails | 连接建立失败数 | .1.3.6.1.2.1.6.7 |
| tcpEstabResets | 连接复位数 | .1.3.6.1.2.1.6.8 |
| tcpCurrEstab | 状态为established或closeWait的连接数 | .1.3.6.1.2.1.6.9 |
| tcpInSegs | 接收的TCP段总数 | .1.3.6.1.2.1.6.10 |
| tcpOutSegs | 发送的TCP段总数 | .1.3.6.1.2.1.6.11 |
| tcpRetransSegs | 重传的TCP段总数 | .1.3.6.1.2.1.6.12 |
| tcpConnTable | 连接表 | .1.3.6.1.2.1.6.13 |
| tcpInErrors | 接收的出错TCP段数 | .1.3.6.1.2.1.6.14 |
| tcpOutRests | 发出的含RST标志的段数 | .1.3.6.1.2.1.6.15 |
UDP
| udpInDatagrams | 接收的数据报总数 | .1.3.6.1.2.1.7.1 |
| udpNoPorts | 没有发现端口而无法提交的数据报 | .1.3.6.1.2.1.7.2 |
| udpInErrors | 出错的数据报 | .1.3.6.1.2.1.7.3 |
| udpOutDatagrams | 上层协议要求输出的数据报 | .1.3.6.1.2.1.7.4 |
| udpTable | UDP表 | .1.3.6.1.2.1.7.5 |
SNMP
| snmpInPkts | SNMP模块接收到的分组数 | .1.3.6.1.2.1.11.1 |
| snmpInTotalReqVars | 被成功读取的Object数,包括get-request和get-next操作 | .1.3.6.1.2.1.11.13 |
| snmpInGetRequests | SNMP模块接收到并处理的get-request的分组数 | .1.3.6.1.2.1.11.15 |
| snmpInGetNexts | SNMP模块接收到并处理的get-next的分组数 | .1.3.6.1.2.1.11.16 |
| snmpOutGetResponses | SNMP模块发出的get-responses的分组数 | .1.3.6.1.2.1.11.28 |
| snmpEnableAuthenTraps | 标记是否允许代理程序产生检验失败警告 | .1.3.6.1.2.1.11.30 |
关于深信服上网行为管理AC的OID可查看这篇文章:深信服上网行为管理AC的OID表https://www.eumz.com/2020-10/2064.html
wordpress及运行环境比如php版本的不断更新,但是很多主题却没有更新,如果新版本的wordpress使用旧主题时,有时候会出现兼容性的问题,会导致首页报错,网站无法正常运行。
类似于以下的信息:
您的站点遇到了致命错误。
如果是更换主题导致的,其实解决起来也非常简单,只需要在数据库中wpoptions下,将template和stylesheet修改成正常主题即可。
深信服AC12.0.7版本后,AC路由模式主备配置的时候DMZ不会同步,也就是主备两台AC可以分别由各自的DMZ口来同时管理。
主备配置步骤如下:
1、主机配置部署模式,WAN口、LAN口、DMZ口,如果需要通过DMZ口管理设备,建议DMZ口配置3个,保留默认的一个eth1口(10.252.252.252/24),还有一个管理口,以及心跳口。
如下图,eth2口心跳口:
2、主机高可用处,配置主机优先级为主,主HA口及对端IP,共享密钥,检测网口组,一般将LAN口配成一组,所有的WAN口配成一组,即LAN口断开会主备机切换,所有WAN口断开也会切换。
主机检测方式也可以不配置,此处配置的是arp和icmp都检测1个WAN口的网关
3、备机部署模式,WAN口、LAN口和主机一样,只有DMZ口不同,也是3个DMZ口,但是管理口地址不同,心跳口地址不同,还有剩下的不接线的eth1口地址也是10.252.252.252
4、备机高可用配置,基本配置也是主HA口、对端IP、共享密钥、检测网口组,备机的检测方式arp、icmp不配置,备机的切换行为、高级配置和主机一样。