USG2130因访问控制策略不当导致内网用户无法打开网页解决案例

发布时间:  2012-07-18 浏览次数:  129 下载次数:  0
问题描述
客户网络通过USG2130连接外网,要求内网用户只能访问外网网站,其他业务不允许访问,但是在做了内网用户只允许访问WWW服务后,发现内网用访问不了外部网站。
告警信息
处理过程
1、当用户访问www.sina.com的时候,查看会话表,看到有大量的http请求,没有DSN会话;
2、查看做域间包过滤的的ACL,发现该ACL只允许访问WWW,拒绝所有其他请求;
acl number 3005
 rule 10 permit tcp source 192.168.0.0 0.0.0.255 destination-port eq www
 rule 500 deny ip source 192.168.0.0 0.0.0.255
3、修改ACL规则,加上允许DNS的访问,即可访问外部网页,同时达到客户要求。
rule 15 permit tcp source 192.168.0.0 0.0.0.255 destination-port eq dns
根因
域间包过滤的ACL里只允许了WWW,没有DNS,导致不能解析网页。
建议与总结
包过滤的时候,DNS经常是一个被忽略的条件,一定要充分考虑一些隐含的访问条件。

END