USG9500使用aspf做过滤

发布时间:  2015-05-28 浏览次数:  161 下载次数:  0
问题描述

之前Eudemon 500的防火墙配置域间策略是通过域间配置acl的方式来实现的。由于前期的acl策略很多有3000多条,并且应用在多个域间,新部署防火墙usg9560的v3r1c20spc200的版本,如果配置域间策略则配置所有相关的域间策略,工作量很多。

经过确认,通过配置detect user-defined,并在域间应用也能实现相关功能。

方便起见,采取了以上方式进行策略配置。

上线后发现部分业务访问很慢,间隙性出现部分内网地址无法访问公网的现象。

告警信息

设备侧没有异常告警。

 

处理过程

1)整体查询会话正常,每个用户都能建立对外访问的会话表。

2)对公网访问的时候,发现不能正常访问外网的客户端,在对外访问时未遵从预设的nat策略:

如访问电信isp区域的ip地址会转换成移动的nat地址池等非电信链路的nat地址池。

通过reset firewall session table,清除会话,仍然无法改观。

3)发现很多的动态的server map表项。但通过配置分析不应该会产生这么多的动态server map表项。

通过命令清除了所有的server map表,则部分无法正常上网的用户可以上网了。

初步分析和server map 表项有关。

根因
使用实例

# 在Trust和Untrust域间的入方向配置三元组ASPF功能,匹配的ACL为ACL 3000。
<USG9000> system-view
[USG9000] acl 3000
[USG9000-acl-adv-3000] rule permit udp destination-port eq 69
[USG9000-acl-adv-3000] quit
[USG9000] firewall interzone trust untrust
[USG9000-interzone-trust-untrust] detect user-defined 3000 inbound

现场使用如上方式进行域间过滤,但是由于使用user-defined的方式进行过滤时,相关的业务都会进入aspf流程。

相关进入aspf的报文,会产生动态的server map表项,导致形成类似 nat server的一对一的映射,导致用户上网时都不会进行nat outband 的源转换,进而产生未遵从预设的域间nat策略的nat会话表。
解决方案

取消域间的detect user-defined 策略,在每组域间按照要求,配置域间访问控制。原来的域间策略应用acl xxxx很方便,改成域间访问控制由于出口有6个,正常策略多了3倍而且需要单独建。

建议与总结

aspf的detect user-defined策略仅建议在少量特殊业务进行配置,不能应用与整体策略的过滤。

配置策略的时候不能简化,需要配置域间策略的时候就需要按照要求进行配置。

虽然某些配置可以进行配置的简化,但是往往存在隐含的策略风险。

对于这些简化的配置,或非常规的配置在割接和业务验证阶段需要特别关注,有利于现场问题的快速解决。

END