本期分享的案例是防火墻的相關(guān)問題。

背景介紹

客戶公司是一家做電商的企業(yè)，近期突然發(fā)現(xiàn)有幾臺電腦無法訪問某個指定的服務(wù)網(wǎng)站，能正常解析該網(wǎng)站域名并且也能ping通，但就是打不開Web，提示“已重置連接”：

有部分電腦是正常的沒這個問題，下面我們來看看如何排查。

處理思路

• 確認(rèn)整體網(wǎng)絡(luò)拓?fù)?，異常的電腦和正常的電腦有哪些不同，是否不同VLAN等；
• 將異常電腦接入不同的節(jié)點(diǎn)測試，看看是經(jīng)過了核心、防火墻哪臺設(shè)備才有問題。

排障分析

第一步：確認(rèn)網(wǎng)絡(luò)拓?fù)浜彤惓ｋ娔X的位置

企業(yè)單位拓?fù)涫堑湫偷娜龑泳W(wǎng)絡(luò)架構(gòu)：路由—防火墻—核心—各個匯聚，經(jīng)確認(rèn)異常電腦和正常電腦所在的區(qū)域是一致的，都是辦公VLAN，網(wǎng)段相同：

第二步：確認(rèn)出現(xiàn)問題的節(jié)點(diǎn)

通過將異常電腦接入不同的節(jié)點(diǎn)測試發(fā)現(xiàn)，電腦接在防火墻下面才有問題，而直連路由器是正常的。撤掉防火墻，異常電腦訪問該服務(wù)站點(diǎn)也正常：

基本確認(rèn)：

是防火墻對上網(wǎng)流量進(jìn)行了攔截，此時再回頭分析之前的診斷，DNS域名解析和Ping都是正常的，但是訪問時連接被“重置”了，說明是http/https的TCP流被阻斷。這里抓個包，通過TTL值也可以進(jìn)一步判斷RST報文是中間鏈路發(fā)出的而不是服務(wù)器發(fā)出來的：

從圖中可以看到，RST包TTL=64，而三次握手成功的ACK TTL=50，說明這兩個回包不是同一個源發(fā)的，RST只能是中間鏈路上的防火墻發(fā)出來的。下一步直接到防火墻中確認(rèn)對應(yīng)的日志信息。

第三步：確認(rèn)防火墻的告警日志

登錄防火墻后查看告警信息，發(fā)現(xiàn)有數(shù)據(jù)流被入侵檢測攔截了，正好對應(yīng)的是異常電腦192.168.0.70訪問服務(wù)站點(diǎn)的數(shù)據(jù)流：

與廠家核實(shí)屬于IPS入侵檢測誤限，因此需要根據(jù)威脅ID，在IPS模塊做個“例外放行”，等后續(xù)更新病毒庫和策略庫升級后解決問題：

解決方案

例外放行后，可以看到IPS模塊還是會檢測到異常，但是動作執(zhí)行“放行”：

此時異常電腦就能正常打開對應(yīng)的站點(diǎn)了：