固件监视器
————
据说它捕获了防火墙中的四个重要点,即i,I,o&O.您会以相同的顺序在捕获中看到它们。
i –预入站,即在接口上接收数据包的位置。如果仅看到此消息,则通过地址欺骗或访问规则丢弃数据包。
I –入站后,数据包已通过传入接口。如果在此之后看不到捕获信息,则可以推断出这是路由问题。
对于我&如果接口是传入的,则数据包将进入防火墙。
o –预出站,在防火墙内的出口接口上接收数据包的位置。如果这是无法看到捕获的点,那么它将成为NAT问题。
O-出站,如果看到此消息,请确保数据包已离开防火墙,并且ACL,路由和NAT都正确。

TCPDUMP。
———
它捕获在位置i&防火墙监视器,您可以确定流量已离开防火墙。它也会显示回程流量。
这与您将捕获放入Cisco PIX / ASA的方式相同。

那么,您使用哪一个?

考虑您运行tcpdump并看到传入流量,但是看不到离开出口接口的流量。您可以猜测是路由或NAT问题。但是要确保拍摄时不会浪费时间查找路由或NAT规则,您可以运行fw monitor并了解问题所在。

为什么使用TCPDUMP?简单,易于使用,行业标准,带有第2层信息(例如ARP请求/答复)的aslo,如Nick在他的文章中所述 安全平台上的数据包捕获–第3部分

为什么不使用TCPDUMP?在防火墙上处理tcpdump时,您必须真正了解您的网络并明智地选择接口(-i ethX),否则您可能会完全错过要搜索的流量。 安全平台上的数据包捕获–第1部分

fw monitor还向我们显示tcpdump没有显示什么?它向我们显示了路由。可以说您的ping操作失败,但是SmartView Tracker日志显示它被接受。 安全平台上的数据包捕获–第2部分

通过 网络安全

发表评论