解决TSM认证前域地址被异常重定向问题。

发布时间:  2014-01-02 浏览次数:  434 下载次数:  0
问题描述
         某局点客户使用TSM和Eudemon 防火墙联动,服务器规划和联动设置好后,发现访问认证前域的服务器地址(http://172.16.1.46/ephone)时,会被重定向至TSM的WEB认证页面(https://172.16.1.167:8443/SCServer/jsp/webDownload/neww)上,测试从客户端是可以pnig通该服务器地址。    当前TSM版本:TSM V100V002C06  防火墙版本是:E300 V200R006C02B066 
告警信息
查看eudemon设备配置,发现在联动ACL 3099里面能看到放行了172.16.1.46地址,但访问时仍然会被异常重定向。

rule 1031 permit ip destination 172.16.1.46 0


   
处理过程
建议修改eudemon设备配置如下:

acl number 3000
rule 0 deny ip destination 172.16.1.167 0
rule 1 deny ip source 172.16.37.181 0
rule 10 deny ip source 172.16.38.180 0
rule 15 deny ip source 172.16.37.180 0
rule 20 deny ip source 172.16.38.181 0
rule 25 deny ip source 172.16.34.128 0
rule 30 deny ip source 172.16.1.46 0     //在ACL 3000中增加拒绝认证前域服务器IP地址。
rule 100 permit ip


添加这条规则后就不会匹配重定向策略。

经测试在acl number 3000里面增加rule 35 deny ip destination 172.16.1.46 0 后问题解决。
 当前防火墙版本是:Eudemon300 V200R006C02B066    


根因
  因为TSM联动使用的是老款eudemon防火墙,初步判断是和防火墙特性相关,查询资料发现:
防火墙重定向数据流程优先于包过滤数据流程
  检查eudemon防火墙的整体配置,注意到设备配置重定向功能,并且引用的是ACL3000 ,根据防火墙特性,重定向优先,因此会优先匹配ACL3000中的规则。

建议与总结

END