HC120312000 HCNP-Security-CISN 第七章 防火墙基础特性故障排除V1.0

修订记录课程编码适用产品产品版本课程版本ISSUEXXXXXXXXXXXXXXXXX开发/优化者时间审核人开发类型（新开发/优化）XXXXXXXXXXXXXX本页不打印第三章

防火墙基础特性故障排除目标学完本课程后，您将能够:掌握安全策略故障排除掌握NAT故障排除掌握攻击防范故障排除掌握IP-Car故障排除掌握双机热备故障排除目录安全策略故障排除NAT故障排除攻击防范故障排除IP-Car故障排除双机热备故障排除包过滤导致业务不通故障排除思路执行命令displaypolicyinterzone，查看ACL配置：原因一：ACL配置错误<USG>displaypolicyinterzoneuntrusttrustinbound

policyinterzonetrustuntrustinboundfirewalldefaultpacket-filterisdenypolicy0(2478timesmatched)actiondenypolicyserviceservice-setippolicysourceanypolicydestinationanypolicy1(0timesmatched)actionpermitpolicyserviceservice-setippolicysource55policydestination55执行命令displaypolicyinterzone，查看域间包过滤情况：原因二：域间应用错误<USG>displaypolicyinterzoneuntrusttrustinbound

policyinterzonetrustuntrustinboundfirewalldefaultpacket-filterisdenypolicy0(0timesmatched)actionpermitpolicyserviceservice-setippolicysource55policydestination55policy1(2478timesmatched)actiondenypolicyserviceservice-setippolicysourceanypolicydestinationany案例：包过滤配置问题导致网页打开慢故障现象PC通过NATOutbound访问WebServer；通过精确的ACL严格控制PC可访问的WebServer地址范围；访问部分网站速度慢，有时打开一个网页需要20多秒。trustuntrustFWPCWebServer原因分析案例：包过滤配置问题导致网页打开慢解决方法将ga.js文件所在的IP地址203.208.39.XX加入到ACL的运行范围目录安全策略故障排除NAT故障排除2.1基于源地址转换的故障排除2.2基于目的地址转换的故障排除2.3NAT故障排除案例攻击防范故障排除IP-Car故障排除双机热备故障排除源地址转换故障排除思路源地址转换故障排除（一）原因一：域间包过滤错误原因二：NAT配置错误nat-policyinterzonetrustuntrustoutboundpolicy0actionsource-natpolicysource55address-group1源地址转换故障排除（二）<USG>displaynat-policyinterzonetrustuntrustinboundnat-policyinterzonetrustuntrustinboundfirewalldefaultpacket-filterispermitnat-policy0(23424timesmatched)actionsource-natnat-policysourceaddress-seta(group)address-group1no-patnat-policy5(0timesmatched)actionsource-natnat-policysourceaddress-setb(group)address-group2原因三：路由问题源地址转换故障排除（三）原因四：特殊应用场景多通道协议：如：FTP、MSN、PPTP、RSTP等，需要在域间开启NATALG功能，目的是识别多通道协议，并自动转换报文载荷中的IP地址和端口信息；域内NAT：应用在域内，配置与域间NAT相同，主要应用场景如下图所示。Internet用户FWSwitchServerNATServer目录安全策略故障排除NAT故障排除2.1基于源地址转换的故障排除2.2基于目的地址转换的故障排除2.3NAT故障排除案例攻击防范故障排除IP-Car故障排除双机热备故障排除目的地址转换故障排除目的地址转换故障排除原因一：域间包过滤错误原因二：目的地址转换配置错误原因三：路由问题原因四：端口问题<USG2200>discur|innatservernatserver0globalinsideno-reverse

natserver1globalinside<USG2200>disfirewallserver-mapNatServer,ANY->[],Zone:---Protocol:ANY(Appro:---),Left-Time:--:--:--,Addr-Pool:---VPN:public->publicNatServer,ANY->[],Zone:---Protocol:ANY(Appro:---),Left-Time:--:--:--,Addr-Pool:---VPN:public->publicNatServerReverse,[]->ANY,Zone:---Protocol:ANY(Appro:---),Left-Time:--:--:--,Addr-Pool:---VPN:public->public目的地址转换故障排除原因一：域间包过滤错误原因二：目的地址转换配置错误原因三：路由问题原因四：端口问题<USG2200>discur|innatservernatserver0globalinsideno-reverse

natserver1globalinside<USG2200>disfirewallserver-mapNatServer,ANY->[],Zone:---Protocol:ANY(Appro:---),Left-Time:--:--:--,Addr-Pool:---VPN:public->publicNatServer,ANY->[],Zone:---Protocol:ANY(Appro:---),Left-Time:--:--:--,Addr-Pool:---VPN:public->publicNatServerReverse,[]->ANY,Zone:---Protocol:ANY(Appro:---),Left-Time:--:--:--,Addr-Pool:---VPN:public->public目录安全策略故障排除NAT故障排除2.1基于源地址转换的故障排除2.2基于目的地址转换的故障排除2.3NAT故障排除案例攻击防范故障排除IP-Car故障排除双机热备故障排除案例：NATServer双出口问题（一）组网说明121.205.3.X。联通地址58.23.90.X和电信地址121.205.3.X的8008端口分别映射到内部服务器8008端口。要求联通用户通过联通地址访问；电信用户通过电信地址访问。联通电信58.23.90.X121.205.3.X06

FWL2-SwitchG0/0/0G0/0/1故障现象natserver及路由配置如下：natserver14protocoltcpglobal121.205.3.X8008inside068008no-reverse；natserver15protocoltcpglobal58.23.90.X

8008inside068008no-reverse；两条静态路由，路由优先级均为默认值60。通过电信公网地址可以访问内部服务器，但通过联通公网地址无法访问。案例：NATServer双出口问题（二）处理过程排除包过滤、NATServer等配置问题。去掉联通地址到内网地址的映射，ping联通地址可以通，且防火墙上可直接ping通服务器内网地址，排除路由问题。将联通映射端口改为10000到8008，telnet内容服务器的10000端口，不通，排除联通限制8008端口。联通访问内容服务器时，FW上查看会话，确认回包走电信链路；案例：NATServer双出口问题（三）原因分析联通用户发起请求，回复的报文走电信链路，运营商的链路上可能会存在链路状态检测的安全设备（并不是所有的运营商链路都会存在这种设备），这种设备会将来回路径不一致的报文丢弃，从而导致业务不通。解决方法FW上配置联通、电信网段的精确路由。这种解决方法配置的工作量太大，不易维护，而且如果联通用户通过访问电信的公网地址来访问内外业务，同样会出现来回路径不一致的问题；服务器上配置备用IP，联通、电信公网地址分别映射不同的服务器地址.同时，FW上做策略路由，区分访问不同内网地址的流量，从相应的链路返回。案例：NATServer双出口问题（三）目录安全策略故障排除NAT故障排除攻击防范故障排除IP-Car故障排除双机热备故障排除攻击防范故障排除思路流量型攻击防范故障排除基于ICMP、UDP的攻击防范基于ICMP的单包攻击：ping-of-death、large-icmp、icmp-redirect、tracert、icmp-unreachable、smurf基于UDP的单包攻击：fraggle排错步骤一：攻击防范开关是否开。基于ICMP的泛洪攻击：icmp-flood基于UDP的泛洪攻击：udp-flood排错步骤一：对应的攻击防范开关是否开启；排错步骤二：对应的需要保护的目的接口或者目的域是否配置正确,是否正确配置基于会话的速率限制；排错步骤三：设置的阈值是否合理。攻击防范故障排除思路基于TCP的攻击防范基于TCP的单包攻击：land、winnuke、tcp-flag排错步骤一：攻击防范开关是否开启基于TCP的泛洪攻击：syn-flood排错步骤一：对应的攻击防范开关是否开启排错步骤二：是否开启反向源探测、TCP代理功能排错步骤三：是否配置包或会话的间隔时间，时间配置是否合理基于IP的攻击防范基于IP的选项攻击：route-record、source-route、time-stamp排错步骤一：攻击防范开关是否开启基于IP的路由攻击：ip-spoofing排错步骤一：对应的攻击防范开关是否开启攻击防范故障排除思路基于扫描的攻击防范基于IP扫描的攻击：ip-sweep排错步骤一：攻击防范开关是否开启排错步骤二：黑名单功能是否开启排错步骤三：地址扫描速率是否合理设置基于端口扫描的攻击：port-scan排错步骤一：攻击防范开关是否开启排错步骤二：黑名单功能是否开启排错步骤三：端口扫描速率是否合理设置基于分片的攻击防范基于分片的攻击：ip-fragment、teardrop排错步骤：攻击防范开关是否开启案例：攻击防范导致业务不通（一）故障现象FW作为安全设备接入M2000和WASN之间，开启攻击防范，保护WASN；M2000与WASN通过TCP建立连接，进行数据交互。目前的现象是，TCP连接可以建立，但数据交互不成功。M2000WASNFWuntrusttrust00G0/0/0.15G0/0/1案例：攻击防范导致业务不通（二）原因分析案例：攻击防范导致业务不通（三）原因分析解决方法客户的业务和应用场景与攻击防范的tcp-illeage-session防护类型相冲突，最直接的方法就是取消tcp-illeage-session防护。另外，如果可行，也可以与客户沟通更改应用协议的某些参数，来规避这种冲突。目录安全策略故障排除NAT故障排除攻击防范故障排除IP-Car故障排除双机热备故障排除IP-Car故障排除思路IP-Car故障排除思路故障点一：白名单配置问题执行动作配置错误：特权IP流量被限制，常常是因为白名单中ACL的执行动作配置错误。ACL中的deny表示不限流。故障点二：统计功能配置错误功能未开启：statisticenableip{inzone|outzone}域方向应用错误：inzone指目的地址为本安全区域数据包，outzone是指源地址为本安全区域的数据包，方向与域的安全级别无关。故障点三：关联流量配置错误执行动作配置错误：ACL中permit表示限制，deny表示不限制；ACL结合使用错误：白名单ACL最先执行，一般用于排除限流ACL中少数不受限的IP。案例：IP-CAR限流不生效（一）组网说明限制Trust1区域内的每个内网IP的上传/下载带宽为：1Mbps/2Mbps。此处的上传包括在Trust1区域的用户上传到Trust2和Internet上的数据，下载包括用户从Trust2和Internet中下载的数据；为了防止内网用户滥用P2P协议从Internet下载文件，浪费设备的端口资源，造成网络的拥塞，所以将连接数限制为20个；对Trust2区域的用户访问Internet不做限制。Trust1:60/24Trust2:70/24UntrustNat:0-0G0/0/1G0/0/2G0/0/3.1.1FW案例：IP-CAR限流不生效（二）配置介绍网络中需要关注的流量；带宽及连接数级别配置。限流配置；故障现象限流不生效，出口带宽仍被大量占用。案例：IP-CAR限流不生效（三）处理过程问题一：查看配置，无统计命令。

添加统计功能命令后，trust1的上传、下载限流正常：statisticenableipinzone/outzone。问题二：trust1内上网连接数限制不成功，出口带宽仍被大量P2P流量占用。连接数配置实现功能是对trust1区域每个内网IP限制连接数为20，出口处连接数为所有终端连接数的总和。没有达到限制P2P流量效果。应采用对NAT之后的地址连接数进行限制：statisticconnect-numberipsourcenatoutbound。目录安全策略故障排除NAT故障排除攻击防范故障排除IP-Car故障排除双机热备故障排除双机热备故障排错思路双机热备故障排错思路（一）故障点一：设计问题硬件要求：要求进行双机热备份的两台设备接口卡的位置、类型和数目都相同，且需要加入到相同的安全域，否则会出现主用USG备份过去的信息，与备用USG的物理配置无法兼容，导致主备USG切换后出现问题；软件要求：软件版本和BootRoom版本一致。故障点二：配置问题VRRP/VGMP配置类问题：请参考备注或手册；HRP配置问题：请参考备注或手册。双机热备故障排错思路（二）故障点三：主备切换问题路由可达性问题：业务在双链路上运行，需要配置IP-Link，并与HRP绑定，实现二层或三层链路的可达性监控。目的路由不可达时，HRP触发VGMP组切换。VRRPClient电信Switch1Switch2FW1FW2联通Server双机热备故障排错思路（三）本地链路监控问题：同一台设备上，部分端口运行VRRP，部分不运行，需要通过在运行VRRP的端口上监控未运行VRRP的端口（Link-Group），以实现正常切换。VRRPClientInternetRouter1Switch1Switch2FW1FW2Router2OSPF/静态路由××双机热备故障排错思路（四）故障点四：双机热备与NAT结合使用场景虚拟IP与地址池在一个网段时，需要将NAT与VRRP组相关联；不在一个网段时，则不需要关联。故障点五：双机热备与OSPF结合使用场景防火墙一侧运行VRRP，另一侧运行OSPF，需要通过命令hrpospf-costadjust-enable，配置根据HRP状态调整OSPF相关的COST值命令功能。如果配置了VGMP组的主动抢占功能，则需要配置抢占延迟时间大于故障消除后OSPF的收敛时间。VRRPClient