防火墙USG5500(V2R1C00SPC500)安全策略

发布时间:  2014-09-11 浏览次数:  284 下载次数:  27
问题描述
  • 网络拓朴

 
 

  • 问题描述

 办公PC所在的网段(10.18.x.x)无法访问某些特定的HTTPS的服务,比如QQ邮箱、招商银行  等;但是也可以访问某些HTTP、HTTPS的网站,比如新浪、建设银行等。而服务器上访问外网的所有资源都通畅,所以客户怀疑是我司防火墙安全策略造成的问题。
 

告警信息
处理过程
  • 信息收集
从客户描述的现象来看,初步认为是防火墙的安全策略设置有问题,但是为了分析真正原因,还是需要从最基本的流程入手;
第一步:询问问题什么时候发生?以前是否发生过?发生问题的范围?是否近期对网络设备做过改动?网络拓扑结构等信息;
第二步:分析收集的关键信息:以前没有出现这种问题,近期没有改动网络设备的配置,部分终端访问部分网站受影响,服务器端访问网站不受影响;
第三步:收集不能访问的终端信息和网站信息,收集服务器的信息;
第四步:登陆防火墙设备,查看配置信息。
  •  信息分析
查看交换机和防火墙设备信息,其中,交换机纯三层,没有做访问控制,防火墙做安全控制和NAT,其中服务器做的nat server,办公网段做的outbound的nat。
第一步:分析服务器端与办公网段的差异:服务器端采用的nat server方式,出口地址为A,办公网段nat的出口地址为B;服务器端与办公网段的安全策略一致;
第二步:在办公PC机上抓取数据包,在防火墙查看会话表;使用办公网段PC机访问无法打开的HTTPS业务,触发数据。

HRP_M<GZ-HXFW-1>dis firewall session table verbose source inside 10.18.1.10
tcp  VPN:public --> public
  Zone: trust--> internet  TTL: 00:00:05  Left: 00:00:04
  Interface: GigabitEthernet0/0/8  NextHop: 220.243.127.237  MAC: 58-66-ba-89-57-0f
  <--packets:0 bytes:0   -->packets:2 bytes:104

通过查看防火墙上的会话信息和PC上抓取的数据包,分析发现客户端有发送数据包到目的地址,并且该数据包已经在防火墙上建立会话,所以办公网的业务数据包是发送到公网上了,只是由于某种原因未返回数据包,造成无法访问业务。
 
根因
建议与总结
建议客户协调internet服务商排查线路故障。

END