防火墙做内网用户只能访问网页策略导致不能访问外部网站问解决案例

发布时间:  2012-07-19 浏览次数:  102 下载次数:  0
问题描述
客户网络通过USG2210连接外网,要求内网用户只能访问外网网站,其他业务不允许访问,但是在做了内网用户只允许访问WWW服务后,发现内网用访问不了外部网站。
告警信息
处理过程
1、当用户访问外网网站的时候,查看会话表,只看到http的访问条目;2、查看做域间包过滤的的ACL,发现该ACL只允许访问WWW,拒绝所有其他请求;
acl number 3005
rule 10 permit tcp source 192.168.0.0 0.0.0.255 destination-port eq www
rule 500 deny ip source 192.168.0.0 0.0.0.255
3、修改ACL规则,加上允许DNS的访问,即可访问外部网页,同时达到客户要求。
rule 15 permit tcp source 192.168.0.0 0.0.0.255 destination-port eq dns
根因
域间包过滤的ACL里只允许了WWW,没有DNS,导致不能解析网页。
建议与总结
包过滤的时候,DNS经常是一个被忽略的条件,一定要充分考虑一些隐含的访问。

END