《防火墙故障排除高级指南》由会员分享,可在线阅读,更多相关《防火墙故障排除高级指南(40页珍藏版)》请在金锄头文库上搜索。
1、防火墙故障排除高级指南(此PPT仅限公司内部使用)产品部 李海全 2005.9课程内容v 产品功能及原理(突出重点,简),对写方案作规划有帮 助 v 安装调试培训(随带说明,简),对实施有帮助 v 疑难分析问题方法(重点),对售后,树立专业形象有帮 助 v 安全策略设计(说明原则,简) v 产品选型评测方法和术语(重点),如何应对评测 v 常用网络工具使用(提供工具包,简单演示),如何分析 问题 v 案例操作(简)产品功能及原理v 基本功能 v 防火墙的种类 v 关键问题:在选择之前,必须思考的一些问题 v 传统边界防火墙的主要应用环境v 疑难问题分析方法 v 安全策略设计 v 产品选型评测
2、v 常用网络工具使用 v 案例操作基本功能v过滤进出网络的数据 v管理进出网络的访问行为 v封堵需要禁止的业务 v记录通过防火墙的信息内容和活动 v对网络攻击进行检测和报警防火墙的种类v路由器:简单的路由器是一种便宜的安全防护模式 v封包过滤 v状态检测 v应用层代理关键问题v 防火墙必须允许或拒绝的网络协定或应用层网络传输 v 防火墙在控制网络传输的时候是否需要做身份认证 v 如何建立规则 v 是否可以隐藏网络地址 v 是否有一个以上的网址,能够保护网络上数个web和email服 务器不受攻击 v 是否可以过滤java和activex v 如何保证防火墙自身的安全 v 能不能够在不影响安全性
3、的情况下处理所有的网络传输活动 v 应该提供事件记录和告警,并且审计网络活动记录 v 是否简单易用 v 是否提供内容过滤 v 可扩展性是否很好,能不能满足将来的需求关键问题(续)v 是否能实现远程管理和集中管理 v 能不能和其他产品互通,互动(第三方IDS/第三方网络管理系统)防火墙的应用环境v控制来自互联网对内网的访问 v控制来自第三方局域网对内网的访问 v控制局域网内部不同部门网络之间的访问 v控制对服务器中心网络访问安装培训调试v 弄清楚用户的网络环境 v 弄清楚用户的应用需求 v 弄清楚用户未来的发展需求 v 弄清楚用户对防火墙要求的侧重点 v 告诉用户安全的概念,安全是一个体系。 v
4、 告诉用户防火墙的基本原理 v 告诉用户其自身网络环境的特点以及安全建议 v 告诉用户如何配置防火墙 v 告诉用户出现疑问和问题如何获得帮助疑难问题的分析方法v问题的查找 v问题的定位:如何快速断定是网络问题、配置问 题、产品问题 v问题的分析问题的查找v 先看FAQ对应功能模块,如果FAQ没有提到该问题,那 么需要参考随机手册 v 网络拓扑 v 具体应用问题?是否做了NAT,反向NAT,应用是否为动态 协议 v很多应用需要在安全规则中先配置允许访问防火墙才可 ,比如VPN、集中管理、用户认证等v 稳定性问题,表现频度网络环境的问题v是否回环? v是否旁路? v是否路由的问题 v是否物理介质的
5、问题,包括网线等 v是否接口协商模式的问题(100 Full/100Half/10Full/10Half) v是否vlan环境具体应用的问题v是否搞清楚应用的通讯机制(协议,端口,地址类 型) v是否动态协议(FTP/TNS/H323/SIP/RTSP) v应用访问客户端和服务端是否都做了nat稳定性问题v是否集群 v是否热备 v对比开始和出现问题时的内存状况 v对比开始和出现问题时的CPU状况 v对比开始和出现问题时的网络流量 v对比开始和出现问题时的ARP表的状态防火墙故障分析基本流程故障分析基本流程图v区分是原有网络故障还是加入防火墙引发故障:防火墙配置全通安全规则,可能的话以路由器代替
6、防火墙来进行判断v区分是防火墙自身故障还是因加入防火墙引发网络故障利用TCP/IP模型辅助判断故障原因利用抓包分析工具(如TCPDUMP)对通讯数据包进行分析v如果确定是防火墙故障,则应对防火墙配置进行检查防火墙故障分析基本流程常用分析、判断方法TCP/IP参考模型简介故障判断举例利用TCP/IP模型定位故障TCP/IP参考模型简介 拓朴图故障判断举例v 举例:故障现象1从内网客户端访问DMZ中的WEB服务器不通故障现象2从内网可telnet到DMZ中的WEB服务器的80端口故障现象3从DMZ客户端可正常访问DMZ中的WEB服务器 v 分析:1 “从DMZ客户端可正常访问DMZ中的WEB服务器
7、”说明WEB服务器功能正常故障分析基本流程图2 经防火墙可telnet通说明到TCP层正常,则说明问题出在TCP层上面,即HTTP应用协议上TCP/IP分层模型3 抓包分析,发现WEB服务器有最多5个客户的license限制 v基本网络知识简介vTCPDUMP常用参数v常见应用举例v疑难故障分析举例利用TCP/IP模型分析故障分析通讯数据包定位故障基本网络知识简介TCP/IP参考模型分析通讯数据包定位故障源/目MAC地址(ethernet)Ethertype (ethernet)Identificiation(IP)Protocol(IP)源/目IP地址(IP)源/目端口(TCP)Sequen
8、ce Number(TCP) (Next expected Seq number - Sequence Number=TCP Data)Acknowledgment number(TCP)TCP Flags(TCP)应用层协议(FTP,HTTP)Time to live(TTL)(IP)IP Flags(IP)基本网络知识简介源/目MAC地址防火墙是否真的接到这个数据包? Ethertype标识上层协议类型分析通讯数据包定位故障 Identificiation(IP)确定防火墙是否转发了某个包Protocol(IP)标识上层协议IP Flags是否允许分片,MTU分析通讯数据包定位故障 源/目
9、IP地址(IP)Time to live(TTL)(IP)为0就不再转发分析通讯数据包定位故障 源/目端口(TCP)与IP一起确定连接TCP Flags(TCP)与TCP状态相关分析通讯数据包定位故障 Sequence Number(TCP)Acknowledgment number(TCP)这两个字段合起来就可确定 某个包是否为另一个包的响应包分析通讯数据包定位故障 应用层协议(FTP,HTTP)分析通讯数据包定位故障 tcpdump采用命令行方式,它的命令格式为:tcpdump -adeflnNOpqStvx -c 数量 -F 文件名 -i 网络接口 -r 文件名 -s snaplen -
10、T 类型 -w 文件名 表达式 -e 在输出行打印出数据链路层的头部信息; -n 不把网络地址转换成名字; -t 在输出的每一行不打印时间戳; -v 输出一个稍微详细的信息(id指ip identification,也包括TCP Flags)分析通讯数据包定位故障 vTCPDUMP常用参数(support账户支持)-c 在收到指定的包的数目后,tcpdump就会停止; -i 指定监听的网络接口; -S 打印绝对TCP序列号 -s 0 抓整个数据包 -w filename 将抓到的包存入文件 -X 输出包内容分析通讯数据包定位故障 vTCPDUMP常用参数(support账户支持) 设置抓包过滤
11、条件:类型关键字:host,net,port,缺省是host传输方向关键字:src, dst,dst or src, dst and src,缺省是dst or src,协议类型关键字:fddi,ether,ip ,arp,rarp,tcp,udp逻辑运算符:取非运算是 not ! , 与运算是and,或运算 是or ,|;括号:“(”和“)” 可导出到ethereal一个图形化抓包分析程序,操作直观,简便,协议分析能力强分析通讯数据包定位故障 vTCPDUMP常用参数(support账户支持) 在eth0网口上抓主机1.1.1.1与2.2.2.2之间的icmp包,存盘:tcpdump -i
12、eth0 s 0 w test.cap icmp and host 10.1.5.200 and (host 1.1.1.1) 检查主机1.1.1.1与2.2.2.2之间的ARP通讯,显示源/目MAC地址Tcpdump e arp and host 1.1.1.1 and host 2.2.2.2分析通讯数据包定位故障 vTCPDUMP应用举例 故障现象:1、CPU利用率很高2、经防火墙的通讯明显变慢 分析方法一:如果可能,将防火墙换为路由器,会发现路由器性能也在下降说明是网络流量大导致所致。 分析方法二:抓防火墙流量,应可看到如下特征如果是蠕虫传播,应能看到源IP地址相同,目的IP地址不同的
13、大量的SYN包。如果是有目的的DOS攻击,应能看到源IP地址不同,目的IP地址相同的大量SYN包。 分析通讯数据包定位故障 vTCPDUMP应用举例-蠕虫&DOS攻击 拓朴图分析通讯数据包定位故障v数据库变慢 故障现象:1、不加防火墙(用路由器),内网Oracle客户端可在2-3秒内连通Oracle服务器2、添加防火墙,Oracle客户端需30-40秒才能连通Oracle服务器 分析:抓包分析,会发现从Oracle数据库的确在响应客户端请求,但中间暂停了30-40秒,再仔细检查,发现这期间数据库才执行DNS解析,添加允许数据库解析DNS的规则后,一切正常。分析通讯数据包定位故障 检查防火墙周边
14、网络环境与配置(如trunk,vlan等) 检查防火墙网口IP地址,特别要注意子网掩码 按规则生效顺序检查规则,必要时可先设“全通”规则进行测试 如端口映射有问题,可先测试IP映射是否正常 如果要上互联网,一定要设置合适的NAT规则 检查防火墙路由,特别注意子网掩码 充分利用防火墙日志 如是TCP连接失败,可先利用telnet检查服务端口是否启动 出于简化问题的目的,在检查网络问题时,可先去除URL过滤等应用层或附加功能。防火墙故障一般检查步骤问题的定位(续)vA.客户端 vB.防火墙 vC.服务器端问题的定位(续)v对比分析没有出现问题和出现问题时的数据流的通讯情况v对比分析不同操作系统,应用,服务器等各个方面情况的数据包的情况v缩短应用通讯所跨的设备,快速定位问题所体现的具体物理位置谢谢!
