set security ike proposal standard authentication-method pre-shared-keys
set security ike policy IKE-POL mode main
set security ike policy IKE-POL proposals standard
set security ike policy IKE-POL pre-shared-key ascii-text $ABC123
set security ike gateway IKE-GW ike-policy IKE-POL
set security ike gateway IKE-GW address 172.16.13.1
set security ike gateway IKE-GW external-interface ge-0/0/1
set security ipsec proposal standard
set security ipsec policy IPSEC-POL proposals standard
set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW
set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL
set security ipsec vpn VPN-to-Host1 establish-tunnels immediately
set security address-book Host1 address Host1-Net 10.100.11.0/24
set security address-book Host1 attach zone untrust
set security address-book Host2 address Host2-Net 10.100.22.0/24
set security address-book Host2 attach zone trust
set security flow tcp-mss ipsec-vpn mss 1350
set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host2-Net
set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host1-Net
set security policies from-zone trust to-zone untrust policy VPN-OUT match application any
set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host1
set security policies from-zone trust to-zone untrust policy default-permit match source-address any
set security policies from-zone trust to-zone untrust policy default-permit match destination-address any
set security policies from-zone trust to-zone untrust policy default-permit match application any
set security policies from-zone trust to-zone untrust policy default-permit then permit
set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host1-Net
set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host2-Net
set security policies from-zone untrust to-zone trust policy VPN-IN match application any
set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host1
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust interfaces ge-0/0/0.0
set security zones security-zone untrust host-inbound-traffic system-services ike
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces ge-0/0/1.0
set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24
set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24
set interfaces lo0 unit 0 family inet address 10.100.100.2/32
set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2

set security ike proposal standard authentication-method pre-shared-keys
set security ike policy IKE-POL mode main
set security ike policy IKE-POL proposals standard
set security ike policy IKE-POL pre-shared-key ascii-text $ABC123
set security ike gateway IKE-GW ike-policy IKE-POL
set security ike gateway IKE-GW address 172.16.13.1
set security ike gateway IKE-GW external-interface ge-0/0/1
set security ipsec proposal standard
set security ipsec policy IPSEC-POL proposals standard
set security ipsec vpn VPN-to-Host1 bind-interface st0.0
set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW
set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL
set security ipsec vpn VPN-to-Host1 establish-tunnels immediately
set security address-book Host1 address Host1-Net 10.100.11.0/24
set security address-book Host1 attach zone VPN
set security address-book Host2 address Host2-Net 10.100.22.0/24
set security address-book Host2 attach zone trust
set security flow tcp-mss ipsec-vpn mss 1350
set security policies from-zone trust to-zone untrust policy default-permit match source-address any
set security policies from-zone trust to-zone untrust policy default-permit match destination-address any
set security policies from-zone trust to-zone untrust policy default-permit match application any
set security policies from-zone trust to-zone untrust policy default-permit then permit
set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address Host2-Net
set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address Host1-Net
set security policies from-zone trust to-zone VPN policy VPN-OUT match application any
set security policies from-zone trust to-zone VPN policy VPN-OUT then permit
set security policies from-zone VPN to-zone trust policy VPN-IN match source-address Host1-Net
set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address Host2-Net
set security policies from-zone VPN to-zone trust policy VPN-IN match application any
set security policies from-zone VPN to-zone trust policy VPN-IN then permit
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust interfaces ge-0/0/0.0
set security zones security-zone untrust host-inbound-traffic system-services ike
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces ge-0/0/1.0
set security zones security-zone VPN host-inbound-traffic system-services ping
set security zones security-zone VPN interfaces st0.0
set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24
set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24
set interfaces lo0 unit 0 family inet address 10.100.100.2/32
set interfaces st0 unit 0 family inet address 10.100.200.2/24
set routing-options static route 10.100.11.0/24 next-hop st0.0
set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2

DefensePro 장비 주로 쓰는 CLI
system logfile : 장비 LOG 확인
system cpu-temp : 장비 CPU 온도 확인
system config immediate : 장비 config 확인
system total-in-traffic-peak : 유입되는 최대 트래픽 확인(Mbps)
system os buffer : Memory 사용량 확인
system hardware temperature-show : DP장비 CPU온도확인(= system cpu-temp)
system internal fans : Fan 상태 확인
system internal port-stats : 가장 최근에 들어오는 트래픽 용량 확인(5초, 30초, 60초)
system sw-version : DP 버전 확인
system utilization cpu : CPU 사용량 확인
system inf-stats : 인터페이스에 들어오는 트래픽량 확인
system license application : DP 라이선스 키 및 MAC address 확인
system device-info : 장비 정보 확인
system date : DP 날짜 및 시간 확인
device static-forwarding-table : Inline 상태 확인
services ntp server-name : NTP 주소 확인
services ntp status : NTP 서버 상태 확인
manage web status : 웹 데몬 상태 확인
net arp table : ARP 테이블 확인
net l2-interface : 포트 링크 상태 확인
net l2-information : 포트 정보 확인
net physical-interface : 포트 Speed, Duplex, Autonego 확인
net route table : 매니지먼트 라우팅 테이블 확인
net ip-interface : 매니지먼터 IP 정보
shutdown : 장비 shutdown
reboot : 장비 rebooting
dp attack-database version : DP 시그니쳐 버전
Apsolute Vision CLI
net ip get : Vision 서버 IP 확인
system hadware status get : FAN 상태 및 온도 확인
system vision-server status : Vision 서버, Reporter 서버 데몬 상태 확인
system version : Vision 서버 버전 확인

Juniper SRX request chassis cluster failover redundancy-group

date_range22-Feb-21

arrow_backward arrow_forward

Syntax

content_copy zoom_out_map

request chassis cluster failover node node-number redundancy-group redundancy-group-number

Description

For chassis cluster configurations, initiate manual failover in a redundancy group from one node to the other, which becomes the primary node, and automatically reset the priority of the group to 255. The failover stays in effect until the new primary node becomes unavailable, the threshold of the redundancy group reaches 0, or you use the request chassis cluster failover reset command.

After a manual failover, you must use the request chassis cluster failover reset command before initiating another failover.

Options

• node node-number—Number of the chassis cluster node to which the redundancy group fails over.
• Range: 0 or 1
• redundancy-group group-number—Number of the redundancy group on which to initiate manual failover. Redundancy group 0 is a special group consisting of the two Routing Engines in the chassis cluster.
• Range: 0 through 255

Required Privilege Level

maintenance

Output Fields

When you enter this command, you are provided feedback on the status of your request.

Sample Output

request chassis cluster failover redundancy-group

content_copy zoom_out_map

user@host> request chassis cluster failover redundancy-group 0 node 1 {primary:node0} user@host> request chassis cluster failover redundancy-group 0 node 1 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Initiated manual failover for redundancy group 0

Release Information

Command introduced in Junos OS Release 9.0.

RELATED DOCUMENTATION

• Initiating a Chassis Cluster Manual Redundancy Group Failover
• Verifying Chassis Cluster Failover Status

기본 Hadware 정보 및 주요 명령어

uptime : 장비 업타임 확인(부팅이 되고 지난 일 수)

TMOUT=0 : 장비 접속 세션 유지
=> 분 단위이며, 0을 입력하면 시간 제한이 없음

top : IPS의 현재 CPU 정보 확인

cat /proc/cpuinfo : IPS의 CPU 정보 확인

df -h : IPS의 현재 DISK 용량 상태 정보 확인

free : IPS의 현재 Memory 용량 정보 확인

cat /proc/meminfo : IPS의 현재 Memory 사용량 확인

ps -ef : 현재 사용중인 Process 확인

lsmod : 데몬 활성화 / 비활성화 확인
=> IPS의 2세그먼트 기준으로 NIC정보 값이 8이면 데몬 활성화 / 0일 경우 데몬 비활성화 상태

init 0 : 장비 전원 OFF

init 6 : 장비 리부팅

cd /home1/sniper/sniper 디렉토리 이동 후
./sniper : 장비 데몬 ON/OFF
./sniper -v : 현재 IPS 버전 정보 확인
./sniper -O : 현재 IPS SSL버전 정보 확인

Traffic 관련

cd /home1/sniper/sniper 디렉토리 이동 후
./isconfig 혹은 ./wgconfig
=> 장비의 NIC에 따라 명령어 달라짐
=> In, Out 트래픽, 인터페이스 에러, 정책에 의한 Drop 카운트 확인 가능
./isconfig |grep error
=> 점검 시, error값으로 sort하여 이상 유무 확인

Config 백업 관련

cd /home1/sniper 디렉토리 이동 후
cp -rfp config config_YYMMDD : config 파일 복사
tar -cvzf config_YYMMDD.tar.gz config_YYMMDD : config 파일 압축
mv config_YYMMDD.tar.gz /backup : 압축한 config 파일을 /backup 디렉토리로 이동

Log 확인

cat /var/log/messages : IPS 로그 전체 정보 확인

cd /var/log 이동 후
tail -n 숫자 messages : 최근 로그부터 숫자만큼 정보 확인
=> 예를 들어 tail -n 100 messages 명령어인 경우 최근 100개의 로그 메세지 확인 가능

dmesg : 장비 부팅 로그 확인

기타

#df -h
#more /home1/sniper/config/sniper.dat ->제품의 S/N, License 정보
#more /home1/sniper/config/sniper.cfg -> 각종 운영 설정 관련 정보
#sniper_network.sh
#ps -ef|grep sniper
#netstat -na
#cd /home1/sniper/sniper -> #./skill sniper
#cd /home1/sniper/sniper -> #./sniper
#cd /home1/sniper/sniper -> #./nic_setup.sh
#cd /home1/sniper/sniper -> #./wgconfig

WD -i eth0 -s 1600 -w packet.pcap -> 관리포트 패킷 수집

tcpdump -i eth0 -s 1600 -w filename.pcap -> 패킷덤프

auto_create_partition.sh -> HDD장애 시 HDD 교체 후 해당 스크립트를 이용하여 자동으로 Partition 설정함

config_gather -> 설정 정보 확인(결과는 /backup/Config_Gathering/에 txt 파일로 저장됨)

#lspci -> 장착되어 있는 NIC 정보 확인

more /home1/sniper/sniper/is_insmode.sh_ -> mode/speed 등

more /home1/sniper/sniper/sn_insmode.sh_

#/home1/sniper/sniper/sniper -v

rm -rf /home1/sniper/config/master.dat ->> Sniper Daemon Restart 관리자 접속 안될경우

sniper_network.sh eth1

Configuration for SRX

root# show |no-more 
system {
     root-authentication {
        encrypted-password “$ABC123"; ## SECRET-DATA
    }
    services {
        ssh;
        telnet;
        }
    syslog {
        archive size 100k files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
    }
}
interfaces {
    ge-0/0/0 {
        unit 0 {
            family inet {
                address 100.1.1.2/24;
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
           family inet {
                address 192.168.2.1/24;
            }
        }
    }
    
}
routing-options {
    static {
        route 0.0.0.0/0 next-hop 100.1.1.1;
    }
}

security {
    ike {
        proposal ike-phase1-proposal {
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm sha1;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 86400;
        }
        policy ike-phase1-policy {
            mode main;
            proposals ike-phase1-proposal;
            pre-shared-key ascii-text “$ABC123"; ## SECRET-DATA
        }
        gateway gw-chicago {
            ike-policy ike-phase1-policy;
            address 100.1.1.1;
            external-interface ge-0/0/0.0;
        }
    }
    ipsec {
        proposal ipsec-phase2-proposal {
            protocol esp;
            authentication-algorithm hmac-md5-96;
            encryption-algorithm des-cbc;
            lifetime-seconds 28800;
        }
        policy ipsec-phase2-policy {
            perfect-forward-secrecy {
                keys group2;
            }
            proposals ipsec-phase2-proposal;
        }
        vpn ike-vpn-chicago {
            ike {
                gateway gw-chicago;
                ipsec-policy ipsec-phase2-policy;
            }
            establish-tunnels immediately;
        }
        
    }
    policies {
        from-zone trust to-zone untrust {
           policy vpn-tr-untr {
                match {
                    source-address sunnyvale;
                    destination-address chicago;
                    application any;
                }
                then {
                    permit {
                        tunnel {
                            ipsec-vpn ike-vpn-chicago;
                        }
                    }
                }
            }
            
        }
        from-zone untrust to-zone trust {
            policy vpn-untr-tr {
                match {
                    source-address chicago;
                    destination-address sunnyvale;
                    application any;
                }
                then {
                    permit {
                        tunnel {
                            ipsec-vpn ike-vpn-chicago;
                        }
                    }
                }
            }
            
    }
    zones {
        security-zone trust {
            address-book {
                address sunnyvale 192.168.2.0/24;
               
           }
            host-inbound-traffic {
                system-services {
                    all;
                }
            }
            interfaces {
                ge-0/0/1.0;
            }
        }
        security-zone untrust {
            address-book {
                address chicago 192.168.1.0/24;
            }
            host-inbound-traffic {
                system-services {
                    ike;
                }
            }
            interfaces {
                ge-0/0/0.0;
            }
        }
    }

}

VPN Configuration for Cisco ASA

(Only VPN related config included)
Interface Configuration: 
------------------------------------------------------------------------------------------------------------------

!
interface GigabitEthernet0
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 

!
interface GigabitEthernet1
 nameif outside
 security-level 0
 ip address 100.1.1.1 255.255.255.0 
!

Policy Configuration :   ------------------------------------------------------------------------------------------------------------------
access-list s2s extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 

IPSEC/IKE Configuration :
-----------------------------------------------------------------------------------------------------------------
crypto ipsec ikev1 transform-set CISCO esp-des esp-md5-hmac 
crypto map outside_map 20 match address s2s
crypto map outside_map 20 set pfs 
crypto map outside_map 20 set peer 100.1.1.2 
crypto map outside_map 20 set ikev1 transform-set CISCO
crypto map outside_map 20 set security-association lifetime seconds 28800
crypto map outside_map interface outside
crypto isakmp identity address 
no crypto isakmp nat-traversal
crypto ikev1 enable outside
crypto ikev1 policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

tunnel-group 100.1.1.2 type ipsec-l2l
tunnel-group 100.1.1.2 ipsec-attributes
ikev1 pre-shared-key *****


Verification of VPN connection
SRX:

root> show security ike sa                        
Index   State  Initiator cookie  Responder cookie  Mode           Remote Address   
778322  UP     8858011cc0881359  e5ecd6302f0306b0  Main           100.1.1.1       

root> show security ipsec sa  
  Total active tunnels: 1
  ID    Algorithm       SPI      Life:sec/kb  Mon vsys Port  Gateway   
  <131073 ESP:des/ md5  fb0a0946 28765/unlim   -   root 500   100.1.1.1       
  >131073 ESP:des/ md5  11f6197b 28765/unlim   -   root 500   100.1.1.1       

root> show security ipsec sa detail                            
  ID: 131073 Virtual-system: root, VPN Name: ike-vpn-chicago
  Local Gateway: 100.1.1.2, Remote Gateway: 100.1.1.1
  Local Identity: ipv4_subnet(any:0,[0..7]=192.168.2.0/24)
  Remote Identity: ipv4_subnet(any:0,[0..7]=192.168.1.0/24)
  Version: IKEv1
    DF-bit: clear
    Policy Name:vpn-tr-untr

    Direction: inbound, SPI: 22abf60, AUX-SPI: 0
                              , VPN Monitoring: -
    Hard lifetime: Expires in 28571 seconds
    Lifesize Remaining:  4607999 kilobytes
    Soft lifetime: Expires in 27982 seconds
    Mode: Tunnel, Type: dynamic, State: installed
    Protocol: ESP, Authentication: hmac-md5-96, Encryption: des-cbc
    Anti-replay service: counter-based enabled, Replay window size: 64

    Direction: outbound, SPI: ccb96ffb, AUX-SPI: 0
                              , VPN Monitoring: -
    Hard lifetime: Expires in 28571 seconds
    Lifesize Remaining:  4607999 kilobytes
    Soft lifetime: Expires in 27982 seconds
    Mode: Tunnel(0 0), Type: dynamic, State: installed
    Protocol: ESP, Authentication: hmac-md5-96, Encryption: des-cbc
    Anti-replay service: counter-based enabled, Replay window size: 64

root> show security ipsec statistics | no-more    
ESP Statistics:
  Encrypted bytes:          1842192
  Decrypted bytes:          1210704
  Encrypted packets:          12144
  Decrypted packets:          12144
AH Statistics:
  Input bytes:                    0
  Output bytes:                   0
  Input packets:                  0
  Output packets:                 0
Errors:
  AH authentication failures: 0, Replay errors: 0
  ESP authentication failures: 0, ESP decryption failures: 0
  Bad headers: 0, Bad trailers: 0

웹방화벽 동작 체크 방법

1. 웹방화벽 게이트웨이로 접속 방법

[root@WIM ~]# ssh wig1 # 웹방화벽 게이트웨이로 접속

(1번 wig1 or 10.1.1.100 2번 wig2 or 10.1.2.100)

root@wig1's password: # root03 입니다.

2. 체크 스크립트 항목별 설명

[root@WIG1 ~]# cd # 어떤 경로에 위치하더라도 스크립트의 경로로 이동

[root@WIG1 ~]# ./regular_check.sh

ENTER키 치면 한 개씩 항목이 실행되어 경과가 나타납니다.

WI Model : 2030BF # 장비 모델명을 나타냅니다.

eth0 MAC Address : 00:10:F3:0F:BC:1E

장비 eth0 맥어드레스이며 라이선스 갱신시 필요한 값

Gateway License : This is unlimited license for

게이트웨이 동작 라이선스상태

WIG version: 2.1.16_6 # 게이트웨이 펌웨어 버전

HTTP(s) Gateway : OK (Listen Port 8001 80 8080)

                    # 웹방화벽 엔진 상태 및 감시 포트 정보 

Log Agent : OK

                    # 매니저로 로그를 전송을 담당하는 Agent 

Policy Agent : OK

                    # 서버에 적용시 정책을 내려받아 적용하는 Agent 

System Monitoring : OK

                    # 웹방화벽 게이트웨이의 동작 상태를 감시하는 Agent 

Docfilter : OK

                    # 개인정보관련 Agent 

Lan Bypass : OK

                    # Bypass TAB의 동작 상태 

Interface status # 인터페이스에서 처리하는 트래픽양이며 ONE-ARMED에서는 SERVER 포트는 0

Client Device

eth6: rx/tx 4582/4582 Kbps, 737/740 pps

Server Device

eth6: rx/tx 0/0 Kbps, 0/0 pps

CLIENT PORT : eth6 # 인터페이스의 LINK상태

Settings for eth6:

Speed: 1000Mb/s

Duplex: Full

Port: FIBRE

Auto-negotiation: on

Link detected: yes

SERVER PORT: eth6 # 인터페이스 LINK 상태

Settings for eth6:

Speed: 1000Mb/s

Duplex: Full

Port: FIBRE

Auto-negotiation: on

Link detected: yes

CLIENT PORT : eth6 # 인터페이스 관련 Count 값 확인

      RX packets:423616900 errors:0 dropped:0 overruns:0 frame:0 

      TX packets:338826150 errors:0 dropped:0 overruns:0 carrier:0 

      collisions:0 txqueuelen:1000  

      Base address:0xaf00 Memory:fdca0000-fdcc0000  

SERVER PORT: eth6 # 인터페이스 관련 Count 값 확인

RX packets:423616900 errors:0 dropped:0 overruns:0 frame:0

      TX packets:338826150 errors:0 dropped:0 overruns:0 carrier:0 

      collisions:0 txqueuelen:1000  

      Base address:0xaf00 Memory:fdca0000-fdcc0000  

Httpgw Process Status #웹방화벽 엔진이 두개 떠있는지 확인

root 28135 1 0 Jan18 ? 00:00:00 /wig/bin/httpgw

root 28136 28135 5 Jan18 ? 00:47:28 /wig/bin/httpgw

Fail Open Mode : ENABLE # Bypass 모듈의 활성화 상태

WIG Uptime : 08:43:12 up 51 days, 22:36, 1 user, load average: 0.02, 0.03, 0.00

                         # 장비의 지속동작 상태 확인 

Web Server List # 웹방화벽이 처리할 서버 정보 리스트

0.0.0.0 - 255.255.255.255:8001

0.0.0.0 - 255.255.255.255:8080

0.0.0.0 - 255.255.255.255:80

registered server: count 3

Bypass IP Address Count=7 # 바이패스할 IP 리스트

   166.104.117.75 - 166.104.117.75 

   166.104.117.77 - 166.104.117.77 

   121.138.193.186 - 121.138.193.186 

   166.104.157.92 - 166.104.157.92 

   166.104.27.1 - 166.104.27.254 

   166.104.177.1 - 166.104.177.254 

   166.104.96.1 - 166.104.96.254 

[root@WIG1 ~]#

3. 각 항목별 긴급 대응 방안

웹방화벽 게이트웨이로 접속이 안되는 경우

-. 게이트웨이가 전원ON 상태 인지 확인

( 전원이 ON되지 않는 경우 파워 또는 보드 장애로 예상됨) 

-. 매니저와 게이트웨이간 케이블이 정상적으로 연결되었는지 확인

(LINK상태 및 정확한 포트간 연결 다른 포트에 연결되었거나 케이블 불량 예상)

-. 게이트웨이LCD 창의 메시지의 내용 변화가 있는지 확인

(멈춰있는 경우 다운 상태이므로 강제 재부팅)

eth0 의 MAC이 변화한 경우

-. 게이트웨이의 eth0가 물리적인 장애인 상태에서 재부팅 되면 eth1이 eth0가 되어

변화할 수 있으며 장비 교체 필요함

-. 게이트웨이 동작 라이선스 재발급 요청

게이트웨이 펌웨어 정보 확인

HTTP(s) Gateway 가 Not OK인 경우

[root@WIG1 ~]# killall httpgw 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_httpgw.sh

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

Log Agent 가 Not OK인 경우

[root@WIG1 ~]# killall log_agent 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_prog.sh log_agent -p WI -d DL_NONE

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

Policy Agent 가 Not OK인 경우

[root@WIG1 ~]# killall policy_agent 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_prog.sh policy_agent DL_NONE

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

System Monitoring 가 Not OK인 경우

[root@WIG1 ~]# killall sys_mon 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_prog.sh sys_mon -p WI -d DL_NONE

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

Docfilter 가 Not OK인 경우

[root@WIG1 ~]# killall docfilter 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_prog.sh docfilter DL_NONE

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

Lan Bypass 가 Not OK인 경우

[root@WIG1 ~]# killall lan_bypass 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_prog.sh lan_bypass DL_NONE

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

Interface status

인터페이스에서 처리하는 트래픽양이 나타나며

ONE-ARMED에서는 SERVER 포트의 값은 O으로 나타납니다.

CLIENT포트도 0 인 경우 케이블 Link 상태 또는 L4에서 트래픽이 정상적으로 보내주고 있는지 확인 필요.

CLIENT PORT : eth6

Duplex: Full -> Half 로 나오는 경우 연결된 장비간 설정값을 확인하여 동일한 방식으로 맞춰야 합니다.

Link detected: yes -> no로 나타나는 경우 케이블이 정상적으로 연결되지 않은 상태 입니다.

                      케이블의 양단이 모두 정상적으로 연결되었는지 확인이 필요합니다. 

CLIENT PORT : eth6

인터페이스의 동작 count를 확인

RX packets:423616900 errors:0 dropped:0 overruns:0 frame:0

TX packets:338826150 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX errors가 증가하는 경우 : Duplex가 안맞거나 연결된 장비의 인터페이스 케이블 상태등 확인 필요

TX errors가 증가하는 경우 : 웹방화벽 인터페이스 장애로 추정

Dropped는 네트워크 방화벽 기능이 동작하는 경우 증가 합니다.

Collisions 는 Duplex가 안맞는 경우 발생할 수 있습니다.

모든 카운트는 최초 케이블 연결 또는 부팅시 일부 발생하는 경우가 있습니다.

앞으로 기존 errors,dropped,collision 카운트 값을 기록하여 관리하도록 하겠습니다.

Httpgw Process Status에서 프로세스가 두개가 아닌 경우 정상적으로 처리가 되지 않습니다.

원래 두개로 구성된 이유는 한 개는 두번째 프로세스를 체크하여 없어지면 다시 실행시켜주는 역할이며 실제 웹방화벽 엔진 역할은 두번째 프로세스가 담당하게 되어 있습니다.

최근에는 두번째 프로세스가 안 떠 있는 경우는 드문 경우이며 처리방법은

[root@WIG1 ~]# killall httpgw 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_httpgw.sh

[root@WIG1 ~]# ps –ef | grep httpgw 로 다시 동작 상태 확인

WIG Uptime에서 부팅시킨 일이 없는데 카운트가 1달 이내인 경우

장비가 비정상적으로 리부팅 되거나 전원 케이블 연결등을 확인합니다.

웹방화벽 두대 모두 동일한 시각에 재부팅된 이력이 있는 경우는 외적인 요인으로

전원,UPS등 전원관련 사항을 확인해야 합니다.

1대만 리부팅 된 경우는 지속적인 모니터링이 필요한 상황으로 장비의 장애가 예상됩니다.

Web Server List가 나타나지 않는 경우

웹방화벽 매니저의 정책을 받지 못한 상황이며

[root@WIG1 ~]# killall httpgw 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_httpgw.sh

[root@WIG1 ~]# cat /proc/pdriver/opmode 로 다시 확인 합니다.

Bypass IP Address Count가 나타나지 않는 경우

[root@WIG1 ~]# killall httpgw 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_httpgw.sh

[root@WIG1 ~]# cat /proc/pdriver/opmode 로 다시 확인 합니다.

또는 웹UI상에서 다시 등록 적용 합니다.

위의 상황은 일반적인 상황에서의 처리 방법이며 모든 장애 유형을

상황을 모두 예측하여 기록하기에는 무리가 있습니다. 따라서 HW 오류등에 따른

예상 못한 상황도 발생할 수 있습니다.

FortiSandbox Shell mode

Then in cli, run 'fnsysctl shell', login with 'fsa_support/Support@FSA1’

cd /drive0/public/clean/20170623/04/2841/3404914715784600920

sandbox-jobs-move -e3404914715784600920.meta

strings 3404914715784600920.meta

tar -czvf kbbank.gz *

cp kbbank.gz /web/static/

https://FSA_IP/static/파일명

reset-bulidno

Please provide me more information as below ;

1. Go to FortiView > File Scan Search and click button of customize. You can see menu of "Job View Setting". Then please enable Column Headers for "Job ID".
2. Please export two type files for FSA as below ;

2-1. CLI of "sandbox-jobs-move -p -j[JOB ID]". It is example as below ;

Step1> # sandbox-jobs-move -p -j3429900306737006651
/Storage/clean/20170710/00/2754/3429900306737006651

Step2> #tar -czvf j3429900306737006651.gz /Storage/clean/20170710/00/2754/3429900306737006651
Step3> #cp j3429900306737006651.gz /web/static/
Step4> On web browser, https://FSA_IP/static/j3429900306737006651.gz

2-2. CLI of " cp /ramdisk/FortiSandboxGUI.db /web/static/"

Step1> On web browser, https://FSA_IP/static/FortiSandboxGUI.db

So, please export 6 job ID files and 1 fortisandboxGUI.db file and attach these files in this case.