UTM透明模式问题.docVIP

UTM透明模式问题 Table of Contents 1. 网络环境介绍 1 2. 测试出现的问题 2 3. 原因分析 2 4. 解决办法 3 5. 其他问题 4 网络环境介绍 在一个客户环境测试的是UTM200，运行在透明模式，网络中全为公网地址，两个公网地址段/24和/24，为保持内?外网，策略是内到外全通，外到内全通，并都下了保护内容列表，以下是测试拓扑： 测试出现的问题 内部有一台web（）服务器，从/24网段访问不到 其他跨网段的访问也应该会有点问题，ping没有问题！ 原因分析 实际上这是一种严格状态检测机制造成的，严格状态检测会检测经过设备的连接状态，如果违反安全的规则，则予以拒绝，举一个比较简单的例子，如下图所示： 上图中，主机A和B都可以访问互联网，也可以被互联网访问（具备公网地址），但是只有主机A可以通过Https管理UTM设备，通信的流程如图中的绿色虚线； 主机B就不能通过ping、telnet、http来和UTM通信，通信过程如红色的虚线一样，UTM设备会在每个接口上维护连接的状态表，如果监测到一个会话来自于某一个接口，但紧接着发现从另外一个接口又接收到同一个会话请求，UTM则认为这第二个会话是无效的，从而拒绝通过。 主机B访问WEB服务器也会遇到同样的情况。 解决办法 大多数情况下可以简单的把UTM设备放置到默认路由器的前面即可消除这种现象 经过北京技术支持专家何晨的协助做模拟测试发现了问题： 不能设置双向的内容过滤，只能设置从外到内的内容保护列表， 尽管开启了单臂路由模式（实际上这条命令是关闭UTM状态检测的），还是不能解决问题，因为UTM的内容过滤开启后会自动启用状态检测，关都关不住！ 但是从内到外怎么能不设内容保护呢，经过抓包发现，本来要重复一次的连接还是被干掉了，后来只能这样，在原来从内到外全通加保护内容列表之前再插入一条从内到外源和目的都是LAN（/24，/24）的不使用保护内容表 config firewall policy edit 1 set srcintf internal set dstintf wan1 set srcaddr lan set dstaddr lan set action accept set schedule always set service ANY next edit 2 set srcintf internal set dstintf wan1 set srcaddr lan set dstaddr all set action accept set schedule always set service ANY set profile_status enable set profile all next edit 3 set srcintf wan1 set dstintf internal set srcaddr all set dstaddr lan set action accept set schedule always set service ANY set profile_status enable set profile all next end 经过实际应用没有再出现上述问题 其他问题 客户急切想要IP/Mac地址绑定，但此命令没有做在UTM WEB界面上，网络里面的流动性比较高，客户希望通过IP/Mac地址绑定限制更改IP地址的行为，客户是一个年龄大于四十的人，比较固执，虽然我说了如下原因： IP/Mac地址绑定可以在命令行下设置 IP/Mac地址绑定的安全性低，控制力度较弱 可以启用用户认证功能，即将用户名/密码和IP地址绑定，也起到一样的IP/mac绑定的效果 但仍然没有打动他啊！估计就因为这个痛脚被用户给否了，虽然客户认为咱们的界面人性化好，实时监控的效果优越，日志内容详尽，但还是来了一出挥泪斩马谡！