[ATP/FLEX] 如何在 Nebula 資安防火牆上以CLI 模式擷取封包?

選項
Zyxel_Kenny
Zyxel_Kenny 文章數: 68  Zyxel Employee
First Anniversary Friend Collector First Comment
已編輯 1月 4 日 Nebula 常見問題

使用場景

Packet-trace 是裝置上基於 CLI 的封包擷取工具,用於透過攔截和顯示透過網路介面傳輸的封包來嗅探和分析網路流量。

本次範例將說明如何在 Nebula 防火牆以 CLI 模式捕擷取封包。

操作範例

如果您從裝置的 LAN 介面存取 SSH 服務,則可以跳過步驟 1)。

1)   建立安全策略以允許來自 WAN 介面的 SSH 服務。
預設情況下,當設備被 Nebula 管理時,無法從 WAN 端存取設備 SSH 服務。

預設值沒有防火牆規則允許從 WAN 進行 SSH 存取防火牆CLI。

前往 設定 Configure > 防火牆 Firewall > 安全政策 Security Policy

按下「+新增」以建立安全策略規則,以允許從WAN訪問設備指令介面。

啟用 : 勾選啟用規則

名稱 : 輸入可自行辨識規則用途的名稱即可

動作 : 允許

來源 : 建議輸入信任的外部IP位址。例如:公司Public IP

目的地 : 設備

*出於安全考慮,我們強烈建議您將受信任的 IP 添加到來源 IP,而不是添加任何 IP。

按下儲存,套用設置到防火牆。

2)   前往 站點 > 設定 > 站點設定,確認設備帳號密碼

3)   透過 SSH 連接到設備,並使用上一步驟查詢的帳號密碼登入。

設備SSH連接方式可以使用Putty或Teraterm工具

輸入上一步驟查詢到的設備帳號密碼登入

4)   輸入 CLI Router > show sdwan interface 檢查可用的介面。

現在我們可以開始在裝置上擷取封包來分析和探查網路封包。

在下面的範例中,我們使用指令在 lan1 介面上抓包。您需要輸入 vlan3222 而不是 lan1。

基本過濾器語法 - packet-trace 介面 [interface name]

Capture packets on:

Specific interface

-Router> packet-trace interface vlan3222

Specific source IP

-Router> packet-trace interface vlan3222 src-host X.X.X.X

Specific destination IP

-Router> packet-trace interface vlan3222 dst-host X.X.X.X

Specific service port

-Router> packet-trace interface vlan3222 port XXXXX

Specific IP protocol

-Router> packet-trace interface vlan3222 ip-proto [icmp|esp|ah|tcp|udp|gre]

Protocol name can also be replaced by protocol number

eg. Protocol number 1= ICMP

擴充過濾器語法 - packet-trace 介面 [interface name] 擴充過濾器

Apply filter for ICMP

-Router> packet-trace interface vlan3222 extension-filter icmp

Apply filter for ARP

-Router> packet-trace interface vlan3222 extension-filter arp

Apply filter for specific IP

-Router> packet-trace interface vlan3222 extension-filter host X.X.X.X

Apply filter for dst/src IP

-Router> packet-trace interface vlan3222 extension-filter [dst|src] X.X.X.X

Apply filter for subnet

-Router> packet-trace interface vlan3222 extension-filter X.X.X.X/n n=mask

Apply filter for tcp/udp service port

-Router> packet-trace interface vlan3222 extension-filter [udp|tcp port] XXXXX

組合

And

-Router> packet-trace interface vlan3222 extension-filter host 192.168.1.33 and port 80

Or

-Router> packet-trace interface vlan3222 extension-filter dst 8.8.8.8 or dst 168.95.1.1

Except

-Rourter>packet-trace interface vlan3222 extension-filter host 8.8.8.8 and not icmp