防火墙故障排除高级指南.ppt

防火墙故障排除高级指南 （此PPT仅限公司内部使用） 产品部 李海全 2005.9 课程内容 v 产品功能及原理（突出重点，简），对写方案作规划有帮 助 v 安装调试培训（随带说明，简），对实施有帮助 v 疑难分析问题方法（重点），对售后，树立专业形象有帮 助 v 安全策略设计（说明原则，简） v 产品选型评测方法和术语（重点），如何应对评测 v 常用网络工具使用（提供工具包，简单演示），如何分析 问题 v 案例操作（简） 产品功能及原理 v 基本功能 v 防火墙的种类 v 关键问题：在选择之前，必须思考的一些问题 v 传统边界防火墙的主要应用环境 v 疑难问题分析方法 v 安全策略设计 v 产品选型评测 v 常用网络工具使用 v 案例操作 基本功能 v过滤进出网络的数据 v管理进出网络的访问行为 v封堵需要禁止的业务 v记录通过防火墙的信息内容和活动 v对网络攻击进行检测和报警 防火墙的种类 v路由器：简单的路由器是一种便宜的安全防护模式 v封包过滤 v状态检测 v应用层代理 关键问题 v 防火墙必须允许或拒绝的网络协定或应用层网络传输 v 防火墙在控制网络传输的时候是否需要做身份认证 v 如何建立规则 v 是否可以隐藏网络地址 v 是否有一个以上的网址，能够保护网络上数个web和email服 务器不受攻击 v 是否可以过滤java和activex v 如何保证防火墙自身的安全 v 能不能够在不影响安全性的情况下处理所有的网络传输活动 v 应该提供事件记录和告警，并且审计网络活动记录 v 是否简单易用 v 是否提供内容过滤 v 可扩展性是否很好，能不能满足将来的需求 关键问题（续） v 是否能实现远程管理和集中管理 v 能不能和其他产品互通，互动(第三方IDS/第三方网络管理系统) 防火墙的应用环境 v控制来自互联网对内网的访问 v控制来自第三方局域网对内网的访问 v控制局域网内部不同部门网络之间的访问 v控制对服务器中心网络访问 安装培训调试 v 弄清楚用户的网络环境 v 弄清楚用户的应用需求 v 弄清楚用户未来的发展需求 v 弄清楚用户对防火墙要求的侧重点 v 告诉用户安全的概念，安全是一个体系。 v 告诉用户防火墙的基本原理 v 告诉用户其自身网络环境的特点以及安全建议 v 告诉用户如何配置防火墙 v 告诉用户出现疑问和问题如何获得帮助 疑难问题的分析方法 v问题的查找 v问题的定位：如何快速断定是网络问题、配置问 题、产品问题 v问题的分析 问题的查找 v 先看FAQ对应功能模块，如果FAQ没有提到该问题，那 么需要参考随机手册 v 网络拓扑 v 具体应用问题？是否做了NAT,反向NAT,应用是否为动态 协议 v很多应用需要在安全规则中先配置允许访问防火墙才可 ，比如VPN、集中管理、用户认证等 v 稳定性问题，表现频度 网络环境的问题 v是否回环？ v是否旁路？ v是否路由的问题 v是否物理介质的问题，包括网线等 v是否接口协商模式的问题(100 Full/100Half/10Full/10Half) v是否vlan环境 具体应用的问题 v是否搞清楚应用的通讯机制(协议，端口，地址类 型) v是否动态协议(FTP/TNS/H323/SIP/RTSP) v应用访问客户端和服务端是否都做了nat 稳定性问题 v是否集群 v是否热备 v对比开始和出现问题时的内存状况 v对比开始和出现问题时的CPU状况 v对比开始和出现问题时的网络流量 v对比开始和出现问题时的ARP表的状态 防火墙故障分析基本流程 故障分析基本流程图 v区分是原有网络故障还是加入防火墙引发故障： 防火墙配置全通安全规则,可能的话以路由器代替防火墙来进行判断 v区分是防火墙自身故障还是因加入防火墙引发网络故障 利用TCP/IP模型辅助判断故障原因 利用抓包分析工具（如TCPDUMP）对通讯数据包进行分析 v如果确定是防火墙故障，则应对防火墙配置进行检查 防火墙故障分析基本流程 常用分析、判断方法 TCP/IP参考模型简介 故障判断举例 利用TCP/IP模型定位故障 TCP/IP参考模型简介 拓朴图 故障判断举例 v 举例： 故障现象1从内网客户端访问DMZ中的WEB服务器不通 故障现象2从内网可telnet到DMZ中的WEB服务器的80端口 故障现象3从DMZ客户端可正常访问DMZ中的WEB服务器 v 分析： 1 “从DMZ客户端可正常访问DMZ中的WEB服务器”说明WEB服务器功能正常 故障分析基本流程图 2 经防火墙可telnet通说明到TCP层正常，则说明问题出在TCP层上面， 即HTTP应用协议上TCP/IP分层模型 3 抓包分析，发现WEB服务器有最多5个客户的license限制 v基本网络知识简介 vTCPDUMP常用参数 v常见应用举例 v疑难故障分析举例 利用TCP/IP模型分析故障 分析通讯数据包定位故障 基本网络知识简介 TCP/IP参考模型 分析通讯数据包定位故障 源/目MAC地址(ethernet) Ethertype (ethernet) Identificiation(IP) Protocol(IP) 源/目IP地址(IP) 源/目端口(TCP) Sequence Number(TCP) (Next expected Seq number - Sequence Number=TCP Data) Acknowledgment number(TCP) TCP Flags(TCP) 应用层协议（FTP，HTTP） Time to live(TTL)(IP) IP Flags(IP) 基本网络知识简介 源/目MAC地址防火墙是否真的接到这个数据包？ Ethertype标识上层协议类型 分析通讯数据包定位故障 Identificiation(IP)确定防火墙是否转发了某个包 Protocol(IP)标识上层协议 IP Flags是否允许分片， MTU 分析通讯数据包定位故障 源/目IP地址(IP) Time to live(TTL)(IP)为0就不再转发 分析通讯数据包定位故障 源/目端口(TCP)与IP一起确定 连接 TCP Flags(TCP)与TCP状态相关 分析通讯数据包定位故障 Sequence Number(TCP) Acknowledgment number(TCP) 这两个字段合起来就可确定 某个包是否为另一个包的响应包 分析通讯数据包定位故障 应用层协议（FTP，HTTP） 分析通讯数据包定位故障 tcpdump采用命令行方式，它的命令格式为： tcpdump -adeflnNOpqStvx -c 数量 -F 文件名 -i 网络接口 -r 文件名 -s snaplen -T 类型 -w 文件名 表达式 -e 在输出行打印出数据链路层的头部信息； -n 不把网络地址转换成名字； -t 在输出的每一行不打印时间戳； -v 输出一个稍微详细的信息（id指ip identification,也包括TCP Flags) 分析通讯数据包定位故障 vTCPDUMP常用参数（support账户支持） -c 在收到指定的包的数目后，tcpdump就会停止； -i 指定监听的网络接口； -S 打印绝对TCP序列号 -s 0 抓整个数据包 -w filename 将抓到的包存入文件 -X 输出包内容 分析通讯数据包定位故障 vTCPDUMP常用参数（support账户支持） 设置抓包过滤条件： 类型关键字：host，net，port，缺省是host 传输方向关键字：src, dst,dst or src, dst and src，缺省是dst or src, 协议类型关键字：fddi,ether,ip ,arp,rarp,tcp,udp 逻辑运算符：取非运算是 not ! , 与运算是and, 或运算 是or ,|； 括号：“(”和“)” 可导出到ethereal一个图形化抓包分析程序，操作直观，简便，协议 分析能力强 分析通讯数据包定位故障 vTCPDUMP常用参数（support账户支持） 在eth0网口上抓主机与之间的icmp包,存盘： tcpdump -i eth0 s 0 w test.cap icmp and host 00 and (host ) 检查主机与之间的ARP通讯，显示源/目MAC地址 Tcpdump e arp and host and host 分析通讯数据包定位故障 vTCPDUMP应用举例 故障现象： 1、CPU利用率很高 2、经防火墙的通讯明显变慢 分析方法一： 如果可能，将防火墙换为路由器，会发现路由器性能也在下降说明是 网络流量大导致所致。 分析方法二： 抓防火墙流量，应可看到如下特征 如果是蠕虫传播，应能看到源IP地址相同，目的IP地址不同的大量的SYN包。 如果是有目的的DOS攻击，应能看到源IP地址不同， 目的IP地址相同的大量SYN包。 分析通讯数据包定位故障 vTCPDUMP应用举例-蠕虫&DOS攻击 拓朴图 分析通讯数据包定位故障 v数据库变慢 故障现象： 1、不加防火墙（用路由器），内网Oracle客户端可在2-3秒内 连通Oracle服务器 2、添加防火墙，Oracle客户端需30-40秒才能连通Oracle服务器 分析： 抓包分析，会发现从Oracle数据库的确在响应客户端请求， 但中间暂停了30-40秒，再仔细检查，发现这期间数据库才执行DNS解析， 添加允许数据库解析DNS的规则后，一切正常。 分析通讯数据包定位故障 检查防火墙周边网络环境与配置（如trunk，vlan等） 检查防火墙网口IP地址，特别要注意子网掩码 按规则生效顺序检查规则，必要时可先设“全通”规则进行测试 如端口映射有问题，可先测试IP映射是否正常 如果要上互联网，一定要设置合适的NAT规则 检查防火墙路由，特别注意子网掩码 充分利用防火墙日志