USG5000开启ip-spoofing导致部分业务不通

发布时间:  2016-04-26 浏览次数:  180 下载次数:  0
问题描述

某学校USG5100上有两个公网出口,分别为联通和教育网,使用运营商分配的真实IP。内网PC使用私网地址,通过NAT走公网上网。学校服务器使用的是教育网分配的真实IP。  防火墙上设置了到教育网的明细路由,并设置了一条缺省路由到联通。


 

告警信息
教育网用户访问教育网服务器正常,联通用户访问教育网服务器则不能访问。
处理过程
联通用户访问教育网服务器从教育网入口进,但回程查找到的路由是缺省路由,走的是联通出口,存在来回路径不一致的问题,为了避免这一问题,在防火墙上设置了策略路由,让教育网的服务器出外网的路由下一跳指向教育网出口.但问题依然存在。
根因

1、通过在教育网服务器上tracert目标地址为联通地址,做路由跟踪,发现策略路由已经生效,教育网服务器的路由出口为教育网,这说明已经不存在来回路径不一致的问题。


2、检查配置发现用户开启了攻击防范,配置了ip-spoofing。

ip-spoofing的原理是对进入防火墙的数据会反查路由表,如果通过路由表查找到的出口和入的接口不一致或者没有查找到路由的情况,会将数据包丢弃。这样联通用户通过教育网访问教育网服务器,防火墙根据源地址反查路由表,查到缺省路由,出口为联通出口,出入接口不一致,导致数据包被丢弃,虽然配置了策略路由,但路由表里不会产生相关表项。

解决方案
关闭ip-spoofing功能
建议与总结
当USG工作在透明模式或者多出口场景下,或应用了策略路由时,不能配置IP欺骗攻击防范功能。

END