防火墙设备URL过滤预定义策略无效

发布时间:  2013-12-31 浏览次数:  184 下载次数:  0
问题描述
某局点使用双电信出口,配置等价路由,开启URL过滤预定义功能,发现预定义URL过滤失效。
告警信息
处理过程
[USG5300]display fib 211.100.19.211
12:53:00  2012/10/19
Fib Flags: B - blackhole, D - dynamic, G - gateway, H - host, S - static
           U - up
------------------------------------------------------------------------------
  Route Entry Count: 2
Destination/Mask   Nexthop         Flag TimeStamp     Interface       TunnelID
0.0.0.0/0          122.227.134.161 GSU  t[102]        GE0/0/0         0x0
0.0.0.0/0          60.190.54.113   GSU  t[102]        GE0/0/1         0x0
源122.227.134.162:31027发往211.100.19.211,没有选择相同网段的下一跳122.227.134.161 ,从G0/0/0口出去,却选择了另一个下一跳60.190.54.113,从G0/0/1口发送。
因为运营商的反向路由检查或者网段其它限制,导致报文只有发送没有返回,具体见会话统计。
[USG5300]dis firewall session table  verbose  destination global  211.100.19.211
12:52:46  2012/10/19
Current Total Sessions : 1
  udp  VPN:public --> public
  Zone: local--> untrust1  TTL: 00:02:00  Left: 00:01:54
  Interface: GigabitEthernet0/0/1  NextHop: 60.190.54.113  MAC: 00-12-00-40-b3-3f
  <--packets:0 bytes:0   -->packets:12583 bytes:3458072
  122.227.134.162:31027-->211.100.19.211:55460
  udp  VPN:public --> public
  Zone: local--> untrust  TTL: 00:02:00  Left: 00:01:44
  Interface: GigabitEthernet0/0/0  NextHop: 122.227.134.161  MAC: 00-25-9e-83-bc-13
  <--packets:7526 bytes:693160   -->packets:7542 bytes:725024
  122.227.134.162:31026-->211.100.19.211:55460
根因
预定义URL过滤生效的前提是能够连接上URL查询服务器进行远程查询,但现网访问URL云查询服务器(sec.huawei.com,DNS解析为211.100.19.211)不通,造成不通的原因是查询报文填充的源地址采用122.227.134.162,但下一跳地址没有选择和源IP地址同网段的122.227.134.161,却选择了另一网段的60.190.54.113,因为运营商网段限制或者开启了反向路由检查,报文无法到达URL远程查询服务器(通过服务器抓包证实),导致远程查询失败,URL过滤预定义策略不可用。
建议与总结
如果出现类似问题,通过路由、会话等信息察看报文是否封装正确,通过路由调整解决问题。

END