防火墙USG5530做NAT-SERVER业务造成服务器业务中断

发布时间:  2014-08-07 浏览次数:  191 下载次数:  0
问题描述
防火墙做NAT-SERVER 业务后,外网用户访问服务器,能够认证成功,但业务无法正常交互。
告警信息
无 
处理过程
1、在PC访问服务器的时候,查询会话表
<gd-yx>display firewall session table
09:50:19  2012/12/28
Current Total Sessions : 24
  tcp  VPN:public --> public 10.3.160.101:1024-->10.3.0.254:4000[172.0.31.151:4000]
  tcp  VPN:public --> public 10.3.160.102:1024-->10.3.0.254:4000[172.0.31.151:4000]
  tcp  VPN:public --> public 10.3.160.103:1034-->10.3.0.254:4000[172.0.31.151:4000]
2、 打开防火墙ASPF功能, 然后查询服务表象发现服务表象里为空,问题到此陷入僵局。
3、在防护墙和SERVER之间的交换机上进行抓包,分析报文发现:服务器在与PC进行认证时候,使用的是172.0.31.151地址, 服务器在与PC进行业务交互的时候使用的是另外一个地址,端口还是原来端口,而防火墙上只存在172.0.31.151的会话,业务就中断了。
4、协调客户找服务器软件厂家,更改软件参数,该问题解决。
根因
1、 能够认证成功,说明已经在防火墙上形成了会话表象。
2、 认证成功后,无法访问业务,可能是对应的业务端口,没有做NAT-SERVER。
建议与总结
1、防火墙NAT-SERVER功能是先查询会话表,匹配会话后,直接转发。使用ASPF功能后,先检查服务表,再检查会话表,匹配后转发报文。
2、ASPF功能是针对相同的地址,不同的端口起作用,而对同一个PC发送不同源地址的报文无能为力,匹配不到会话表。
3、建议工程师开局或整改工程中,涉及到NAT-server命令时候,和服务器端管理员详细协商软件设置中的地址部分,再做相应的数据。

END