防火墙策略导致服务器访问异常分析案例.doc

n  科来官网 一、概览 1、测试描述 测试软件：科来网络分析系统 2010 测试部署：公司核心交换机的服务器端口 2、故障现象描述 1）外网用户不能访问业务服务器 贵单位是双链路出口，在边界防火墙上有两条链路，一条是网通的，一条是电信。正常情况下是电信和网通的用 户从外部访问内网服务器时走的都是电信链路，但是数据回去时在防火墙上有策略，电信的选择电信的出口回去，网 通的选择网通的出口回去。但是三天前突然出现了异常情况，电信的外网用户部分能成功的访问，但是网通的外网用 户都访问不了。 网管人员在初步判断问题时怀疑是路由策略的问题，但这只是凭着我们日常的经验判断的，因为单位网络数据的 高度敏感性和必要的稳定性，不能就凭借经验就妄动现有的网络配置。 所以我们用科来软件来具体的分析。 2）网络拓扑环境描述 管理员一直尝试通过 PING 和 TRACERT 命令来观察网络中的一些故障点，这种传统的判断方法在处理日常的问 1 / 6  科来官网 题时的却很有效，但是它只能大概判断问题可能出在哪里，当故障比较隐蔽，层次比较深时它们就无能为力了。 二、分析情况 1、网络中的异常诊断信息 借助科来网络分析软件，我们在如上图所示的俩个位置同时抓包，我们让一个外网的联通用户访问内网的服务器， 在分析点 1 我们看到如下图所示： 是访问内网服务器的客户端，在分析点 1 我们发现只有请求的数据，没有返回的数据。我们查看 TCP 连接的时序图，如下： 通过时序图我们看到网络中只有 SYN 请求包，没有服务器给客户端的回应包，连接没有建立起来。 因为是在两个点同时抓的包，在分析点 2，如下图： 2 / 6  科来官网 因为经过防火墙会有一些地址转换，所以看到的是 1 和 5 的交互，5 是服 务器的内网地址。 点开一个会话我们看到两者之间建立了正常的连接，说明在防火墙到服务器的这一段是正常的。排除可是服务器 的故障。 3 / 6  科来官网 如图所示红色的线表示成功的建立了连接，白色的箭头线表示在这一段没能建立起来连接。 再结合我们测试客户端发来的 TRACERT 的截图（如下图所示），我们能够确定故障点就在防火墙上。 4 / 6  科来官网 三、测试总结 如果通过我们常规的方法判断，我们只能估计哪个点出现故障的概率比较大，然后我们着重检查这些点。现在通 过科来软件，我们轻而易举的就能判断出问题是出现在防火墙上，而且我们并不是通过经验判断问题，而是通过网络 中实际传输的数据包的数据定位问题。步骤很简单，精准度却很高。 管理员请来防火墙厂家的技术人员，来到之后我们简单的交流了一下，因为厂家的技术也使用过科来网络分析系 统，所以沟通的很快。确定了故障点之后，着重查看了防火墙的配置情况，结果发现就是防火墙的一些策略出了问题， 通过修改策略问题很快解决。 至此困扰了用户 3 天的问题，被彻底解决，网络恢复了正常。 5 / 6