防火墙疑难问题分析.pptVIP

3 疑难故障分析举例——时断时续 排障步骤 1、查找路由原因 由于关掉全通规则后不能上网，可以排除路由问题，因为设备之间只有静态路由，所以不存在动态路由被禁止掉的问题ping 外网网关通说明路由没有问题 2、查找DNS原因 用户的DNS是在内网的，不经过防火墙 关掉全通规则，去ping外网网站的ip地 址，能够ping通，但是访问页面不通，说明确实是由于DNS引起的，在防火墙上抓包发现，内网的 DNS只是一级DNS，它会去向服务器区的DNS服务器请求DNS信息 3 疑难故障分析举例——时断时续 解决办法 在防火墙上开启允许DNS的服务后，关掉全通规则 内网用户访问正常，该现象消除 针对问题2 因为内网用户访问服务器的时候，只是丢包，所以怀疑和防火墙的安全规则策略关系不大，怀疑可能是路由的震荡，但是静态路由出现震荡的可能下很小，及时出现也和防火墙的关系不大 3 疑难故障分析举例——时断时续 解决办法 在用户提供的信息不准和不能准确确定问题的时候，采用端口排除的办法，一步减小端口的访问，由于开启全通不丢包，可以在该安全规则上，将端口从0-65535的开始逐步按照每次减一半的原则排除，先排查如0-1024，然后在试1024-32000，慢慢缩小范围 最后结论 是由于的1985号端口引起的，是hsrp的组播包，禁止掉以后，会引起虚拟网关切换。造成路由不通，允许通过后问题解决 3 疑难故障分析举例——时断时续 结论 1. 弄清楚用户的网络环境 2. 弄清楚用户的应用需求 3. 不要完全相信用户，怀疑那点就一定要验证 4. 弄清楚用户对防火墙要求的侧重点 5. 告诉用户防火墙的基本原理 6 FAQ 欢迎大家批评指正！ 谢谢！ * * * * * * * * * * * * 将DMZ中的服务器映射出去， * * * * * * * * 防火墙故障排除高级指南（Ver 1.1） 网御神州 客服中心 2009.02 学习目标 学习完本课程，您应该能够 学会如何在出现问题时用哪种办法解决 学会如何使用基本调试命令 选型测试中常用测试参数 课程内容 产品功能及原理 防火墙故障分析基本流程 疑难故障分析举例 1 疑难问题的分析方法 问题的查找 问题的定位：如何快速断定是网络问题、配置问题、产品问题 3. 问题的分析 1 网络环境的问题 是否回环？ 是否旁路？ 是否路由的问题 是否物理介质的问题，包括网线等 是否接口协商模式的问题(100 Full/100Half/10Full/10Half) 是否vlan环境 1 问题的查找 先看FAQ对应功能模块，如果FAQ没有提到该问题，那么需要参考随机手册 网络拓扑 具体应用问题？是否做了NAT,反向NAT,应用是否为动态协议 很多应用需要在安全规则中先配置允许访问防火墙才可，比如VPN、集中管理、用户认证等 稳定性问题，表现频度 1 具体应用的问题 是否搞清楚应用的通讯机制(协议，端口，地址类型) 是否动态协议(FTP/TNS/H323/SIP/RTSP) 应用访问客户端和服务端是否都做了nat 1 稳定性问题 是否集群 是否热备 对比开始和出现问题时的内存状况 对比开始和出现问题时的CPU状况 对比开始和出现问题时的网络流量 对比开始和出现问题时的ARP表的状态 2 防火墙故障分析基本流程 故障分析基本流程图 1. 区分是原有网络故障还是加入防火墙引发故障： 防火墙配置全通安全规则,可能的话以路由器代替防火墙来进行判断 2. 区分是防火墙自身故障还是因加入防火墙引发网络故障 利用TCP/IP模型辅助判断故障原因 利用抓包分析工具（如TCPDUMP）对通讯数据包进行 分析 3. 如果确定是防火墙故障，则应对防火墙配置进行检查 2 防火墙故障分析基本流程 常用分析、判断方法 检查防火墙周边网络环境与配置（如trunk，vlan等） 检查防火墙网口IP地址，特别要注意子网掩码 按规则生效顺序检查规则，必要时可先设“全通”规则进行测试 如端口映射有问题，可先测试IP映射是否正常 如果要上互联网，一定要设置合适的NAT规则 检查防火墙路由，特别注意子网掩码 充分利用防火墙日志 如是TCP连接失败，可先利用telnet检查服务端口是否启动 出于简化问题的目的，在检查网络问题时，可先去除URL过滤等应用层 或附加功能。 2 防火墙故障一般检查步骤 2 问题的定位（续） A.客户端 B.防火墙 C.服务器端 问题的定位（续） 对比分析没有出现