USG5120HSR防火墙透明模式状态下区域间的源NAT转换策略不生效问题

发布时间:  2014-08-22 浏览次数:  226 下载次数:  0
问题描述
案例图片1
根据案例图片1所示,外联单位一PC,通过AR3260-1连接到网络,需要访问核心交换机下挂的内部服务器业务。数据流方向:外联PC→AR3260-1→USG5120HSR→核心交换机→内部服务器,如图中红色箭头所示。在USG5120HSR防火墙上配置透明模式,并针对外联PC的源地址做UNTRUST区域到TRUST区域的源NAT转换,针对外联PC访问的目的地址做NAT SERVER。该源NAT转换策略不生效,造成该业务无法正常访问。
告警信息
处理过程
1.登录防火墙WEB操作界面,并打开源NAT转换策略界面。仔细检查,策略是否正确配置。通过拓扑结构和仔细验证,确定该IP为不安全区域到安全区域的源NAT转换,且配置正确无误。但该IP仍然无法访问内网服务器业务。
2.打开会话表,发起该业务的连接。可以看到会话表中有此条会话,且目的IP已通过NAT SERVER转换成真实的目的IP。但源IP没有进行NAT转换,且查看策略没有命中次数。可将故障原因锁定在源NAT转换策略上。
3.打开该会话的详细参数。可以看到,源IP和目的IP都属于TRUST区域。通过分析说明部署UNTRUST区域到TRUST区域的源NAT策略而不生效的原因。如案例图片2所示。
案例图片2
4.将该策略修改为TRUST区域到TRUST区域的域内源NAT策略。重新发起业务连接,通过观察会话表,可以看到已将UNTRUST区域的源IP进行了转换,策略匹配成功,且策略生效。观察业务,已可正常使用。
具体配置如下:
nat-policy zone trust
policy 0
  action source-nat
  policy source address-set X.X.X.X(外联单位IP)
  policy destination address-set X.X.X.X(外联单位IP)
  address-group X.X.X.X(转换后IP)
根因
由于在该网络中,需要通过源NAT转换的IP为外联单位IP,属于外部不安全区域。必须通过源NAT转换,将此IP转换成可以在网络内部使用的规范IP,才可以正常访问内部网络。而该IP访问的目的IP也不是真实的内部服务器地址,而是该单位向其提供的一个虚拟IP。需通过NAT SERVER映射,将虚拟IP映射到真实的内部服务器IP上。需通过对源地址的NAT转换和NAT SERVER,才能够正常的访问内部服务器业务,从而有效的保护了内部服务器的安全。
经排查,已排除网络故障问题。证明造成该IP无法访问内部服务器业务的原因,不是由于网络故障或路由不通造成的。并将故障原因锁定在防火墙源NAT转换策略上。
建议与总结
由于用户组网需求,防火墙只能进行二层透明部署。配置两个VLAN,分属两个网络。每个VLAN都有两个接口。一个接口连接外部区域,配置成UNTRUST区域。一个接口连接核心交换机,配置成TRUST区域。每个VLANIF有一个IP,VLANIF配置为TRUST区域。
按正常情况而言,该源NAT转换策略因为外部区域到安全区域的转换,即UNTRUST区域到TRUST区域。但通过会话表观察,此策略因改为TRUST区域到TRUST区域的转换。
经确认,造成此现象的原因在于,在防火墙配置过程中,将VLANIF接口划分到了TRUST区域,且AR路由器配置的静态路由的下一跳不是指到核心交换机上,而是指到了防火墙VLANIF所配的IP上。经此配置,使外联单位的源IP不再属于UNTRUST区域,而是属于了TRUST区域。

END