常见问题

工业防火墙常见问题下载

22、后台删除可信主机

【问题现象】:客户配置错误可信主机,或是配置可信主机后忘记可信主机策略

【产生原因】:因配置错误可信主机,或是配置可信主机后忘记可信主机策略,导致设备无法登录

【解决方法】:进入设备后台数据库中进行可信策略删除

第一步:使用串口或是ssh进入工业防火墙后台命令界面并登录root账号

 
   第二步:输入该命令并输入数据库密码进入设备后台数据库中 /usr/local/mysql/bin/mysql -uroot -p

 

第三步:输入该命令删除可信主机策略 Delete from usm.tap_sys_tshost;

21、工业防火墙配置端口联动

【问题现象】防火墙上连交换机与下连交换机均配置了主备模式的端口聚合策略,在断开防火墙与上联交换机连接的主线路后,无法切换到备线路上,导致网络中断

【产生原因】:防火墙主线路连接上联交换机的端口down了,但连接下连交换机的主线路端口未duwn,对于下连交换机而言,此时还会将数据包发送至主线的,从而导致网络中断

【解决方法】:配置工业防火墙端口联动策略,此配置仅针对接口对模式,配置后同一接口组一个接口down另一接口也会down。

第一步:进入防火墙后台cli界面然后使用debug命令进入设备debug命令模式下

    


第二步:然后使用ifsync enable命令进行端口联动功能打开
  

20、通过后台开启工业防火墙SSH服务

【问题现象】无法通过SSH方式登录设备后台。

【产生原因】V300R003C01B115以前版本不支持Web页面开启或关闭SSH功能。

【解决方法】通过设备后台开启或关闭SSH功能

第一步:连接串口到设备的console口,配置com口和对应的波特率115200,然后输入用户名,密码。

第二步:在命令行里面运行/usr/sbin/sshd -q   启动SSH服务;

第三步:先使用ps -ef | grep ssh,找到服务对应进程的ID号,再使用Kill -9 ID号,停止服务,操作如下图。
 


19、从V200R005C01B120到V200R003C01B133降级方法

【问题现象】:工业防火墙进行版本降级,具体由V200R005C01B120版本降级到V200R003C01B133版本。

【解决方法】:通过后台替换原有版本安装包的方法,实现版本降级。

第一步:使用putty/Xshell软件,通过串口连接工业防火墙后台,然后打开ssh(/usr/sbin/sshd -q)

第二步:通过winscp软件,连接工业防火墙,进入TEG目录下,修改原sys-fw.tar.gz为sys-fw.bak.tar.gz

第三步:把V200R003C01B133版本的工业防火墙软件包(前提需要找供应链要teg-V200R003C01B133-rbr.tar.gz降级安装包)放进TEG目录下,重命名为sys-fw.tar.gz

第四步:Reboot重启即可

18、从V3R3升级至V3R5版本时设备死机

【问题现象】:通过管理平台页面直接将设备从V3R3升级V3R5版本会导致设备系统损坏无法使用

【产生原因】:直接通过管理平台页面将设备从V3R3升级V3R5版本

【解决方法】:首先使用串口连接设备进入设备后台,使用命令ps -ef | grep teg 查看关于 teg 的进程

 

使用kill命令结束/bin/bash /opt/app/bin/start teg的那一条
 

使用ifconfig 命令查看设备管理IP并使用ssh协议进行连接,并进到/opt/app目录下使用原本版本的包替换系统包重启即可,例如V300R003C01B090版本防火墙,则需将V300R003C01B090系统包重命名为sys-fw.tar.gz,并导入防火墙代替原本的sys-fw.tar.gz包,并进行重启。

 


17、V3R3无法从WEB升级V3R5(TEG5612/5624)

【问题现象】:工业防火墙V3R3无法通过页面直接升级到V3R5版本,否则会导致系统损坏。

【产生原因】:V3R3版本与V3R3底层的linux系统版本不同,需要从底层进行升级。

【解决方法】:

第一步:仅有设备型号为5612、5624并且内存大于等于4G才可升级。

第二步:需要准备一个fat32格式的U盘。

第三步:将升级需要的文件放到u盘下。

        linux.itb、setup.sh、NETSEC_RACK_V300R005C01B107_P2.tar.gz、NETSEC_RACK_V300R005C01B107_P3.tar.gz

第四步:将带有升级文件的U盘插到防火墙设备上;

第五步:重启设备按任意键进入uboot,在uboot下执行如下命令

        i2c mw 0x61 0x15 0xff

       usb reset&&load usb 0:1 $load_addr linux.itb&&bootm $load_addr
 


第六步:输入用户名root进入系统, 转到U盘目录执行setup.sh命令完成升级

        echo 0 > /sys/class/fpga/fpga/WdgEnable

       cd /run/media/sda1/ (需要确认u盘实际挂载目录)

        ./setup.shNETSEC_RACK_V300R005C01B107_P2.tar.gz NETSEC_RACK_V300R005C01B107_P3.tar.gz(注意此命令两个压缩包应该放在一起为一条命令如下图所示)
 
注意:setup.sh 脚本后面参数是两个镜像文件, p2、p3与setup.up不在同目录时需要指定绝对路径

第七步:运行后等待几分钟设备重启后即升级完成。

16、V3R3无法从WEB升级至V3R5版本(TEG5606)

【问题现象】:工业防火墙V3R3无法通过页面直接升级到V3R5版本,否则会导致系统损坏

【产生原因】:V3R3版本与V3R3底层的linux系统版本不同,需要从底层进行升级

【解决方法】:

第一步:仅有设备型号为5606并且内存大于等于4G才可升级。

第二步:需要准备一个fat32格式的U盘

第三步:将升级需要的文件放到u盘下,

第四步:导轨设备文件:

       linux.itb、setup.sh、NETSEC_RAIL_V300R005C01B107_P2.tar.gz、NETSEC_RAIL_V300R005C01B107_P3.tar.gz

第五步:将带有升级文件的U盘插到防火墙设备上;

第六步:重启设备按任意键进入uboot,在uboot下执行如下命令

        usb reset&&load usb 0:1 $load_addr linux.itb&&bootm $load_addr#nh02

第七步:输入用户名root进入系统, 转到U盘目录执行setup.sh命令完成升级

       echo 0 > /sys/class/fpga/fpga/WdgEnable

        cd /run/media/sda1/   (需要确认u盘实际挂载目录)

     ./setup.sh NETSEC_RAIL_V300R005C01B107_P2.tar.gz NETSEC_RAIL_V300R005C01B107_P3.tar.gz

15、V3R3升级至V300R003C01B090支持自管理

【问题现象】:V3R3版本防火墙无法进行自管理切换

【产生原因】:V3R3版本防火墙出厂默认不支持切换自管理模式

【解决方法】:将工业防火墙升级自自管理版本

第一步:首先将防火墙系统版本升级至V300R003C01B070,升级方法可以通过后台替换系统升级包或界面升级

第二步:需要用到的升级包如下:
        

第三步:将usminstall_V300R003C01B070.tar.gz拷贝到防火墙/root目录下,执行tar zxvfusminstall_V300R003C01B070.tar.gz,解压得到usminstall_selfmanagement的文件夹

第四步:将USM.war和usmcreated.sql拷贝到/root/usminstall_selfmanagement

第五步:执行cd /root/usminstall_selfmanagement命令进入usminstall_selfmanagement文件夹内并使用./deploy.sh命令执行deploy.sh 脚本。

第六步:脚本执行完毕后会自动重启,重启后即可直接通过浏览器访问防火墙管理IP

14、如何获取工业防火墙运行日志

【问题现象】:如何查看并防火墙的运行日志路径并导出日志。

【产生原因】:防火墙因故需要提供运行日志给研发进行分析。

【解决方法】:ssh登录防火墙后台,查看防火墙目录:

/data/winicssec/runlog/

查看是否有coredump文件:ll /data/winicssec/coredump

13、工业防火墙ACL离线告警日志路径

【问题现象】:如何查看防火墙的ACL离线告警日志路径并导出日志。

【产生原因】:防火墙因故需要提供ACL离线告警日志给研发进行分析。

【解决方法】:ssh登录防火墙后台,查看防火墙目录:

/data/winicssec/log/fw/log_buffer

或/data/winicssec/log/firewall/log_buffer

12、如何清除离线日志

【问题现象】:无法从后台清理工业防火墙的离线日志。

【产生原因】:防火墙因故障问题需要清理离线日志。

【解决方法】:ssh登录防火墙后台,进行离线日志清理:

第一步:通过串口连接工业防火墙con口,然后使用root账户进入到后台操作界面

第二步:进入到/usr/winicssec/log/firewall/log_buffer目录

第三步:使用rm清除掉该目录下的文件

第四步:Reboot,即可

11、日志或告警信息量过大

【问题现象】:现场日志流量非常大或产生大量的告警。

【解决方法】:根据防火墙版本对应的流量处理数据,判断流量产生的原因,调整管理平台的防火墙策略进行解决。

第一步:摸清现场流量大小,查看一天或者半天,工业防火墙产生的告警与日志量。

第二步:如果管理平台是V100R003C00B231之前的版本告警与日志量为审计日志30W/天,工业防火墙工业防火墙告警3个月100W。

第三步:如果管理平台是V100R003C00B231之后的版本包含V100R003C00B231版本,告警与日志的数量为300W/天。

第四步:如果现场工业协议流量很大,工业防火墙不能一直开启学习模式,会导致学习数据过多学习完成无法正确执行,从而学习不到规则。

第五步:数据量大的现场必须要配置规则减少告警与日志,不能让设备无规则运行。

10、如何通过工业防火墙后台抓包

【问题现象】:如何进行工业防火墙后台抓包。

【产生原因】:现场需要通过防火墙后台抓包来分析是否有流量产生。

【解决方法】:

第一步:通过登录防火墙后台winicssec用户进行抓包,具体命令如下:

winicssec用户登录

CLI#:config

CLI#:debug

输入密码

CLI#:pcap start

抓好以后执行pcap stop

抓的文件在/data/winicssec/pcap(看文件需要使用winSCP 软件)

第二步:通过登录防火墙后台root用户进行抓包,方法如下:

root用户登录,参照tcpdump功能使用说明,例如:

Tcpdump -i eth1 -w /123.pacp

Tcpdump -i eth1 host 192.168.1.1

Tcpdump -i eth1 src host 192.168.1.1

Tcpdump -i eth1 dst host 192.168.1.1

Tcpdump -I eth1 port 25

9、工业防火墙无法正常上线

【问题现象】:通过管理平台查看工业防火墙,发现防火墙未上线或查找不到对应的防火墙。

【产生原因】:工业防火墙已经被删除或防火墙IP地址有冲突。

【解决方法】:在统一安全管理平台-工业防火墙界面上,勾选“显示已删除”列表,里面查看对应工业防火墙ID,如果有跟设备ID编号一致的,则还原该工业防火墙。如果列表里没有或者还原后没有上线,请确认所有防火墙的IP地址,检查是否有IP冲突。请拨打24小时客户服务热线:4000-680-620。

8、工业防火墙频繁上下线

【问题现象】:工业防火墙频繁上下线。

【产生原因】:防火墙本身故障或防火墙接入流量过大。

【解决方法】:

首先对防火墙进行单独测试,确保现场使用的工业防火墙能够正常使用,对具有BYPASS功能的工业防火墙进行掉电处理,避免影响现场使用(导轨式和定制的机架式工业防火墙)。

然后对现场工业防火墙接入的网络流量进行查看,是否为流量过大,超过工业防火墙可承受范围。

7、如何强制设备管理口速率为百兆模式

【问题现象】:如何设置防火墙管理口速率为百兆口。

【产生原因】:根据用户现场通信需求,需要将防火墙的管理口速率设置为百兆。

【解决方法】:

使用调试专用计算机通过串口线连接监测审计/工业防火墙CON口,通过后台命令行修改监测审计平台/防火墙的配置文件。

监测审计平台/防火墙配置:

第一步:将调试专用计算机通过串口线连接至监测审计平台的串口上;

第二步:使用串口工具SecureCRT登录到对应串口,波特率为115200;

 


第三步:使用默认用户名:root和密码登录到监测审计平台/防火墙(密码需要跟威努特确认);

第四步:修改当前的管理口速率为百兆;命令如下:

ethtool -s agl0 autoneg off speed 100 duplex full

 


第五步:编辑修改设备的/sbin/rc文件,在文件最后添加:ethtool -s agl0 autoneg off speed 100 duplex full便于设备重启后管理口速率保持百兆不变。操作步骤如下:

输入命令:

vi /sbin/rc

输入i编辑文件内容

将光标移动至最后在最后一行插入文字:

ethtool -s agl0 autoneg off speed 100 duplex full

输入命令

:wq保存并退出。

 


第六步:查看策略配置生效情况

输入命令:ethtool aglo查看speed的数值为100Mb/s则表示当前配置生效。

 


第七步:退出root账户命令exit

6、光口可兼容那些光模块

【问题现象】:工业防火墙业务口支持的光模块有哪些。

【产生原因】:用户现场用到防火墙光口作为业务口,需要配置可用的光模块。

【解决方法】:目前防火墙业务口支持的光模块主要有以下两种:

华为:SFP-FE-LX-SM1310

思科:GLC-SX-MMD 10-2626-01

5、管理平台显示接口不全

【问题现象】:工业防火墙TEG5100通过管理平台界面查看,显示接口数量只有4个。

【产生原因】:防火墙TEG5100配置文件错误,需要手动修改配置文件。

【解决方法】:TEG5100配置文件错误,手动修改/etc/net_mac.config文件,去掉多余的“.”,保存即可。

4、策略无命中次数显示

【问题现象】:自管理版本或是集中管理版本ACL或NAT策略无命中次数

【产生原因】:防火墙版本较低,无法显示命中次数

【解决方法】:升级设备版本至V300R005即可解决

3、Web界面无法打开设备SSH功能

【问题现象】:在WEB界面打开防火墙ssh后,发现防火墙未能打开ssh

【产生原因】:防火墙版本较低

【解决方法】:升级设备版本至V300R003C01B115以后版本(大于等于此版本)

2、无法学习到OPC协议

【问题现象】:防火墙接入网络后无法学习到OPC协议。

【产生原因】:OPC协议属于有连接上下文的工业协议,必须在OPC服务启动前设备就接入网络并开始学习,否则在OPC连接最开始的阶段如果没有报文流经设备,设备是无法获取到OPC的上下文信息的。这样即使后面OPC协议的报文流经了设备,设备也无法知道接口上下文ID的这个ID代表的具体是谁了,也就无法学习到了。

【解决方法】:在OPC协议连接前进行学习,或是中断OPC协议,致使其重新连接。

1、工业防火墙配置目的NAT策略,需要进行虚拟IP映射

【问题现象】:防火墙配置目的NAT,访问的IP无法映射。

【产生原因】:访问的这个IP未配置在防火墙端口上。

【解决方法】:进入设备后台cli界面中,并输入以下命令set natarp flag 1开启natarp功能(需要关闭则是set natarp flag 0),即可使用未配置在防火墙接口上的ip进行映射。

 

图4-12

ISASecure CRT Tool认证
等保建设服务资质
信息系统安全集成服务资质
信息安全服务风险评估资质
ISO9001质量管理体系认证
ISO20000技术服务管理体系认证
ISO27001信息安全管理体系认证
信息安全服务资质安全工程类一级
信息安全服务资质安全开发类一级
微信二维码
在线咨询
周一至周日 0:00-24:00
4000-680-620
support@winicssec.com
威努特Copyright2016 Winicssec All Rights Reserved 版权所有 京ICP备14062383号-1
站长统计
友情链接: 刑事律师 绝缘材料厂家 污水处理 保镖公司 沈阳玻璃钢冷却塔 汽车租赁 储能消防