USG9310(V100R003C00SPC700)网站无法访问

发布时间:  2013-12-23 浏览次数:  224 下载次数:  0
问题描述
客户内网服务器123.123.123.53,映射到外网接口222.82.XX.230的80端口,以前访问正常,最近遭受到DDOS攻击,导致客户网站无法访问。
告警信息
处理过程
查看客户配置,与该内网网站相关配置如下:
nat server  protocol icmp global 222.82.XX.230 inside 123.123.123.53
nat server  protocol tcp global 222.82.XX.230  www inside 123.123.123.53 www
#
firewall interzone dmz untrust
packet-filter 3001 inbound
packet-filter 3000 outbound
nat outbound 2003 address-group 3
nat outbound 2004 address-group 4
nat outbound 2007 address-group 7
nat outbound 2009 address-group 1
nat outbound 2012 address-group 8
#
#
acl number 2007
rule 10 permit source 123.123.123.53 0
#
nat address-group 7 222.82.XX.230 222.82.XX.230
#
现象描述如下:
客户内网服务器123.123.123.53,映射到外网接口222.82.XX.230的80端口,以前访问正常,最近遭受到DDOS攻击,正常访问几天后,会出网站无法访问的情况,客户将防火墙重启后能够正常访问,但过几天又会出现同样的情况。
故障排除如下:
1. 查看配置,没有问题,让客户用IP为60.13.189.165访问服务器,发现打不开网页,但客户用联通手机访问,可以打开网站。
2. 查看会话,发现有icmp的会话,但没有映射到80端口会话,让客户在外网访问该服务器,发现会话未做转换(也只有这一台服务器未做转换)。
   [Internet-Out-FW-USG9310]dis firewall session table  source global  60.13.189.165
16:08:19  2013/12/14
Current total sessions: 656
Slot: 2 CPU: 1
icmp VPN: public --> public 60.13.189.165:2069 --> 222.82.XX.230:2048[123.123.123.5:2048]
http VPN: public --> public 60.13.189.165:4809 -->222.82.XX.230:80[123.123.123.4:80]
http VPN: public --> public 60.13.189.165:4808 --> 222.82.XX.230:80[123.123.123.4:80]
http VPN: public --> public 60.13.189.165:12289 -->222.82.XX.230:80
http VPN: public --> public 60.13.189.165:4812 --> 222.82.XX.230:80[123.123.123.4:80]
http VPN: public --> public 60.13.189.165:12290 --> 222.82.XX.230:80
http VPN: public --> public 60.13.189.165:4806 -->222.82.XX.230[123.123.123.4:80]
http VPN: public --> public 60.13.189.165:12288 -->222.82.XX.230:80
3. 在查询会话过程中,注意到有会话未做NAT转换http VPN: public --> public 60.13.189.165:12290 --> 222.82.XX.230:80,怀疑有配置干扰到nat server匹配。
3. 征求客户同意后,将nat server  protocol icmp,和域间nat outbound 2007删除,重置会话后,测试后会话还是未做转换。
4.修改端口测试,改动如下:nat server  protocol tcp global 222.82.XX.230  8080 inside 123.123.123.53 www 测试后发现网站可以访问。
5.修改回原端口:nat server  protocol tcp global 222.82.XX.230 www inside 123.123.123.53 www,测试后发现网站可以正常访问。
根因
判断应该是nat server配置,或者是软件版本有问题。
建议与总结
向研发咨询,问题出在:USG9510(包括E8080E防火墙)不支持NAT地址池和nat server使用相同的地址。
客户使用:
1.nat server  protocol tcp global 222.82.XX.230  www inside 123.123.123.53 www
2.firewall interzone dmz untrust
    nat outbound 2007 address-group 7
 acl number 2007
    rule 10 permit source 123.123.123.53 0
nat address-group 7 222.82.XX.230 222.82.XX.230
两者配置同样的IP地址,会导致ASPF业务创建的动态的servermap表项与nat server创建的静态servermap表项冲突。
外网访问内网服务器,防火墙会随机匹配上nat outbound 2007 address-group 7这条策略,导致访问出现异常。
只需要将nat outbound 2007 address-group 7策略删除,防火墙就能匹配中nat server那条策略。
该问题是防火墙软件问题,配置时要特别注意。

END