USG9500配置攻击防范后,内网用户无法上网

发布时间:  2015-01-08 浏览次数:  285 下载次数:  0
问题描述
客户在防火墙上配置了下面的攻击防范后,内网无法正常上网。
firewall defend land enable
firewall defend smurf enable
firewall defend fraggle enable
firewall defend winnuke enable
firewall defend ip-spoofing enable
firewall defend route-record enable
firewall defend time-stamp enable
firewall defend ping-of-death enable
处理过程
1)在防火墙上根据客户端IP地址查询会话信息,发现防火墙上没有会话信息。存在两种可能性,一种可能是客户端没有把报文上送到防火墙,另外一种可能性是客户端到了防火墙后被防火墙丢弃。

该问题在配置攻击防范后问题出现,删除后故障恢复,基本可以确认应该是防火墙的攻击防范功能把报文丢弃了。


display  firewall session  table  verbose  source inside  x.x.x.1
20:00:46  2014/05/13                                                                                                              
Info: Current total sessions: 0 
2)查看防火墙的日志,发现防火墙有IP-spoofing 攻击日志,记录的攻击IP 就是上网用户IP地址,可以判断 用户报文是被防火墙的IP-spoofing攻击丢弃了。

Dec 13 2013 17:05:38+08:00 JSZHJ-MC-CMNET-NAT01-DIM_E8000E-X16 %%01SEC/4/ATCKDF(l)[6399]:AttackType: IP spoof attack; slot: 16; cpu: 1; Receive Interface: Eth-Trunk2.20; from: x.x.x.1 x.x.x.2 x.x.x.3; begin time: 2013-12-13 17:05:18; end time: 2013-12-13 17:05:37; total packets: 764

3) 防火墙IP-spoofing 机制是,防火墙收到报文后,会使用源IP地址查询路由,看看路由的出接口是否和该报文的出接口一致 ,如果不一致,就会认为是攻击,把把问丢弃。

根据攻击日志看,该报文是从接口Eth-Trunk2.20 进来,但是在防火墙查路由发现,地址x.x.x.1的路由出接口是Eth-Trunk2.10, 因此报文被识别成IP-Spoofing攻击,然后丢弃。

日志:

Dec 13 2013 17:05:38+08:00 JSZHJ-MC-CMNET-NAT01-DIM_E8000E-X16 %%01SEC/4/ATCKDF(l)[6399]:AttackType: IP spoof attack; slot: 16; cpu: 1; Receive Interface: Eth-Trunk2.20; from: x.x.x.1 x.x.x.2 x.x.x.3; to: y.y.y.y z.z.z.z; begin time: 2013-12-13 17:05:18; end time: 2013-12-13 17:05:37; total packets: 764

路由信息:

display ip routing-table x.x.x.1

x.x.0.0/16  Static 60   0           RD   yy.1.1.2        Eth-Trunk2.10



根因
由于防火墙上的路由配置问题,启用IP-spoofing攻击防范功能后,正常上网报文被防火墙丢弃。在配置路由时,建议IP的路由出接口跟该IP发出报文的入接口保持一致。另外建议正常情况下关闭防火墙上IP-spoofing攻击防范功能。
解决方案
1.关闭IP-spoofing攻击防范功能
或者
2.修改IP的路由出接口跟该IP发出报文的入接口保持一致。

END