USG5560外网登录内部服务器经常中断

发布时间:  2015-09-19 浏览次数:  254 下载次数:  0
问题描述

某单位购买USG5550防火墙加入现网后,发现外网用户访问内部OA系统连接经常中断。组网示意图如下:

internet---router---USG5560---OA

处理过程

1、首先判断是否网络连接出现问题。router上公网地址映射OA,出现问题的时候ping router公网地址可以ping通。

2、防火墙上查看会话,发现没有去往OA服务器内网地址的会话,做流量统计,也无去往OA服务器的流量。

3、查看防火墙日志,有大量攻击日志

%2015-08-05 16:01:09 YnW-USG5560 %%01SEC/4/ATCKDF(l): AttackType="Connection flood attack", slot="0", receive interface="GigabitEthernet0/0/6 ", proto="TCP", src="X.X.X.X:2517 ", dst="Y.Y.Y.Y:80 ", begin time="2015-08-05 16:01:04", end time="2015-08-05 16:01:04", total packets="1", max speed="0".

4、OA的外部映射地址正是router的公网地址X.X.X.X,进一步查看配置,发现防火墙上配置了TCP全连接攻击并且名字了黑名单

firewall defend tcp-illegal-session blacklist-timeout 600
firewall defend tcp-illegal-session packet 20 interval 45
===================================================================
===============display firewall blacklist item===============
===================================================================
16:38:47  2015/08/05
Total:9         Manual:0             IP Sweep:0         Port Scan:0        
IDS:0           Login Failed:0     
TIS(tcp-illegal-session):9                Unknown:0        
IP              Reason                         Insert Time         Age Time   Vpn-instance
------------------------------------------------------------------------------
X.X.X.X  Illegal Session                2015/08/05 15:59:59 600        dx182

5、此时已明确是访问OA的流量命中了TCP全连接攻击导致。

根因
访问OA的流量命令了TCP全连接攻击,导致报文被加入黑名单二丢弃。
解决方案

由于OA访问量很大,根据用户实际情况,调整TCP全连接攻击阀值以保证满足业务访问,问题解决。

firewall defend tcp-illegal-session packet 200 interval 45

END