防火墙策略导致服务器访问异常分析案例.doc

防火墙策略导致服务器访问异常分析案例.doc

  1. 1、本文档共7页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
防火墙策略导致服务器访问异常分析案例

n 科来官网 一、概览 1、测试描述 测试软件:科来网络分析系统 2010 测试部署:公司核心交换机的服务器端口 2、故障现象描述 1)外网用户不能访问业务服务器 贵单位是双链路出口,在边界防火墙上有两条链路,一条是网通的,一条是电信。正常情况下是电信和网通的用 户从外部访问内网服务器时走的都是电信链路,但是数据回去时在防火墙上有策略,电信的选择电信的出口回去,网 通的选择网通的出口回去。但是三天前突然出现了异常情况,电信的外网用户部分能成功的访问,但是网通的外网用 户都访问不了。 网管人员在初步判断问题时怀疑是路由策略的问题,但这只是凭着我们日常的经验判断的,因为单位网络数据的 高度敏感性和必要的稳定性,不能就凭借经验就妄动现有的网络配置。 所以我们用科来软件来具体的分析。 2)网络拓扑环境描述 管理员一直尝试通过 PING 和 TRACERT 命令来观察网络中的一些故障点,这种传统的判断方法在处理日常的问 1 / 6 科来官网 题时的却很有效,但是它只能大概判断问题可能出在哪里,当故障比较隐蔽,层次比较深时它们就无能为力了。 二、分析情况 1、网络中的异常诊断信息 借助科来网络分析软件,我们在如上图所示的俩个位置同时抓包,我们让一个外网的联通用户访问内网的服务器, 在分析点 1 我们看到如下图所示: 是访问内网服务器的客户端,在分析点 1 我们发现只有请求的数据,没有返回的数据。我们查看 TCP 连接的时序图,如下: 通过时序图我们看到网络中只有 SYN 请求包,没有服务器给客户端的回应包,连接没有建立起来。 因为是在两个点同时抓的包,在分析点 2,如下图: 2 / 6 科来官网 因为经过防火墙会有一些地址转换,所以看到的是 1 和 5 的交互,5 是服 务器的内网地址。 点开一个会话我们看到两者之间建立了正常的连接,说明在防火墙到服务器的这一段是正常的。排除可是服务器 的故障。 3 / 6 科来官网 如图所示红色的线表示成功的建立了连接,白色的箭头线表示在这一段没能建立起来连接。 再结合我们测试客户端发来的 TRACERT 的截图(如下图所示),我们能够确定故障点就在防火墙上。 4 / 6 科来官网 三、测试总结 如果通过我们常规的方法判断,我们只能估计哪个点出现故障的概率比较大,然后我们着重检查这些点。现在通 过科来软件,我们轻而易举的就能判断出问题是出现在防火墙上,而且我们并不是通过经验判断问题,而是通过网络 中实际传输的数据包的数据定位问题。步骤很简单,精准度却很高。 管理员请来防火墙厂家的技术人员,来到之后我们简单的交流了一下,因为厂家的技术也使用过科来网络分析系 统,所以沟通的很快。确定了故障点之后,着重查看了防火墙的配置情况,结果发现就是防火墙的一些策略出了问题, 通过修改策略问题很快解决。 至此困扰了用户 3 天的问题,被彻底解决,网络恢复了正常。 5 / 6

文档评论(0)

f8r9t5c + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:8000054077000003

1亿VIP精品文档

相关文档