《15防火墙故障排除高级指南》由会员分享,可在线阅读,更多相关《15防火墙故障排除高级指南(40页珍藏版)》请在金锄头文库上搜索。
1、防火墙故障排除高级指南(此PPT仅限公司内部使用)产品部 李海全 2005.9课程内容v产品功能及原理(突出重点,简),对写方案作规划有帮助v安装调试培训(随带说明,简),对实施有帮助v疑难分析问题方法(重点),对售后,树立专业形象有帮助v安全策略设计(说明原则,简)v产品选型评测方法和术语(重点),如何应对评测v常用网络工具使用(提供工具包,简单演示),如何分析问题v案例操作(简)产品功能及原理v基本功能v防火墙的种类v关键问题:在选择之前,必须思考的一些问题v传统边界防火墙的主要应用环境v疑难问题分析方法v安全策略设计v产品选型评测v常用网络工具使用v案例操作基本功能v过滤进出网络的数据v
2、管理进出网络的访问行为v封堵需要禁止的业务v记录通过防火墙的信息内容和活动v对网络攻击进行检测和报警防火墙的种类v路由器:简单的路由器是一种便宜的安全防护模式v封包过滤v状态检测v应用层代理关键问题v防火墙必须允许或拒绝的网络协定或应用层网络传输v防火墙在控制网络传输的时候是否需要做身份认证v如何建立规则v是否可以隐藏网络地址v是否有一个以上的网址,能够保护网络上数个web和email服务器不受攻击v是否可以过滤java和activexv如何保证防火墙自身的安全v能不能够在不影响安全性的情况下处理所有的网络传输活动v应该提供事件记录和告警,并且审计网络活动记录v是否简单易用v是否提供内容过滤v
3、可扩展性是否很好,能不能满足将来的需求关键问题(续)v是否能实现远程管理和集中管理v能不能和其他产品互通,互动(第三方IDS/第三方网络管理系统)防火墙的应用环境v控制来自互联网对内网的访问v控制来自第三方局域网对内网的访问v控制局域网内部不同部门网络之间的访问v控制对服务器中心网络访问安装培训调试v弄清楚用户的网络环境v弄清楚用户的应用需求v弄清楚用户未来的发展需求v弄清楚用户对防火墙要求的侧重点v告诉用户安全的概念,安全是一个体系。v告诉用户防火墙的基本原理v告诉用户其自身网络环境的特点以及安全建议v告诉用户如何配置防火墙v告诉用户出现疑问和问题如何获得帮助疑难问题的分析方法v问题的查找v
4、问题的定位:如何快速断定是网络问题、配置问题、产品问题v问题的分析问题的查找v先看FAQ对应功能模块,如果FAQ没有提到该问题,那么需要参考随机手册v网络拓扑v具体应用问题?是否做了NAT,反向NAT,应用是否为动态协议v很多应用需要在安全规则中先配置允许访问防火墙才可,比如VPN、集中管理、用户认证等v稳定性问题,表现频度网络环境的问题v是否回环?v是否旁路?v是否路由的问题v是否物理介质的问题,包括网线等v是否接口协商模式的问题(100 Full/100Half/10Full/10Half)v是否vlan环境具体应用的问题v是否搞清楚应用的通讯机制(协议,端口,地址类型)v是否动态协议(F
5、TP/TNS/H323/SIP/RTSP)v应用访问客户端和服务端是否都做了nat稳定性问题v是否集群v是否热备v对比开始和出现问题时的内存状况v对比开始和出现问题时的CPU状况v对比开始和出现问题时的网络流量v对比开始和出现问题时的ARP表的状态防火墙故障分析基本流程 故障分析基本流程图故障分析基本流程图v区分是原有网络故障还是加入防火墙引发故障: 防火墙配置全通安全规则,可能的话以路由器代替防火墙来进行判断v区分是防火墙自身故障还是因加入防火墙引发网络故障 利用TCP/IP模型辅助判断故障原因 利用抓包分析工具(如TCPDUMP)对通讯数据包进行分析v如果确定是防火墙故障,则应对防火墙配置
6、进行检查防火墙故障分析基本流程 常用分析、判断方法常用分析、判断方法TCP/IPTCP/IP参考模型简介参考模型简介故障判断举例故障判断举例利用TCP/IP模型定位故障TCP/IP参考模型简介参考模型简介 拓朴图 故障判断举例故障判断举例v 举例: 故障现象1从内网客户端访问DMZ中的WEB服务器不通 故障现象2从内网可telnet到DMZ中的WEB服务器的80端口 故障现象3从DMZ客户端可正常访问DMZ中的WEB服务器 v 分析: 1 “从DMZ客户端可正常访问DMZ中的WEB服务器”说明WEB服务器功能正常 故障分析基本流程图 2 经防火墙可telnet通说明到TCP层正常,则说明问题出
7、在TCP层上面, 即HTTP应用协议上TCP/IP分层模型 3 抓包分析,发现WEB服务器有最多5个客户的license限制 v基本网络知识简介基本网络知识简介vTCPDUMPTCPDUMP常用参数常用参数v常见应用举例常见应用举例v疑难故障分析举例疑难故障分析举例 利用TCP/IP模型分析故障 分析通讯数据包定位故障分析通讯数据包定位故障 基本网络知识简介基本网络知识简介TCP/IP参考模型参考模型分析通讯数据包定位故障分析通讯数据包定位故障源/目MAC地址(ethernet)Ethertype (ethernet)Identificiation(IP)Protocol(IP)源/目IP地址
8、(IP)源/目端口(TCP)Sequence Number(TCP)(Next expected Seq number - Sequence Number=TCP Data)Acknowledgment number(TCP)TCP Flags(TCP)应用层协议(FTP,HTTP)Time to live(TTL)(IP)IP Flags(IP)基本网络知识简介基本网络知识简介源/目MAC地址防火墙是否真的接到这个数据包?Ethertype标识上层协议类型分析通讯数据包定位故障 Identificiation(IP)确定防火墙是否转发了某个包Protocol(IP)标识上层协议IP Flag
9、s是否允许分片, MTU分析通讯数据包定位故障 源/目IP地址(IP)Time to live(TTL)(IP)为0就不再转发分析通讯数据包定位故障 源/目端口(TCP)与IP一起确定 连接TCP Flags(TCP)与TCP状态相关分析通讯数据包定位故障 Sequence Number(TCP)Acknowledgment number(TCP)这两个字段合起来就可确定某个包是否为另一个包的响应包分析通讯数据包定位故障 应用层协议(FTP,HTTP)分析通讯数据包定位故障 tcpdump采用命令行方式,它的命令格式为: tcpdump -adeflnNOpqStvx -c 数量 -F 文件名
10、 -i 网络接口 -r 文件名 -s snaplen -T 类型 -w 文件名 表达式 -e 在输出行打印出数据链路层的头部信息; -n 不把网络地址转换成名字; -t 在输出的每一行不打印时间戳; -v 输出一个稍微详细的信息(id指ip identification,也包括TCP Flags)分析通讯数据包定位故障 vTCPDUMPTCPDUMP常用参数(常用参数(supportsupport账户支持)账户支持)-c 在收到指定的包的数目后,tcpdump就会停止;-i 指定监听的网络接口;-S 打印绝对TCP序列号-s 0 抓整个数据包-w filename 将抓到的包存入文件-X 输出
11、包内容分析通讯数据包定位故障 vTCPDUMPTCPDUMP常用参数(常用参数(supportsupport账户支持)账户支持) 设置抓包过滤条件: 类型关键字:host,net,port,缺省是host 传输方向关键字:src, dst,dst or src, dst and src,缺省是dst or src, 协议类型关键字:fddi,ether,ip ,arp,rarp,tcp,udp 逻辑运算符:取非运算是 not ! , 与运算是and,&; 或运算 是or ,|; 括号:“(”和“)” 可导出到ethereal一个图形化抓包分析程序,操作直观,简便,协议 分析能力强分析通讯数据包
12、定位故障 vTCPDUMPTCPDUMP常用参数(常用参数(supportsupport账户支持)账户支持) 在eth0网口上抓主机1.1.1.1与2.2.2.2之间的icmp包,存盘: tcpdump -i eth0 s 0 w test.cap icmp and host 10.1.5.200 and (host 1.1.1.1) 检查主机1.1.1.1与2.2.2.2之间的ARP通讯,显示源/目MAC地址 Tcpdump e arp and host 1.1.1.1 and host 2.2.2.2分析通讯数据包定位故障 vTCPDUMPTCPDUMP应用举例应用举例 故障现象: 1、C
13、PU利用率很高 2、经防火墙的通讯明显变慢 分析方法一: 如果可能,将防火墙换为路由器,会发现路由器性能也在下降说明是 网络流量大导致所致。分析方法二: 抓防火墙流量,应可看到如下特征 如果是蠕虫传播,应能看到源IP地址相同,目的IP地址不同的大量的SYN包。 如果是有目的的DOS攻击,应能看到源IP地址不同, 目的IP地址相同的大量SYN包。 分析通讯数据包定位故障 vTCPDUMPTCPDUMP应用举例应用举例- -蠕虫蠕虫&DOS&DOS攻击攻击 拓朴图分析通讯数据包定位故障v数据库变慢数据库变慢 故障现象: 1、不加防火墙(用路由器),内网Oracle客户端可在2-3秒内 连通Orac
14、le服务器 2、添加防火墙,Oracle客户端需30-40秒才能连通Oracle服务器 分析: 抓包分析,会发现从Oracle数据库的确在响应客户端请求, 但中间暂停了30-40秒,再仔细检查,发现这期间数据库才执行DNS解析, 添加允许数据库解析DNS的规则后,一切正常。分析通讯数据包定位故障 检查防火墙周边网络环境与配置(如trunk,vlan等) 检查防火墙网口IP地址,特别要注意子网掩码 按规则生效顺序检查规则,必要时可先设“全通”规则进行测试 如端口映射有问题,可先测试IP映射是否正常 如果要上互联网,一定要设置合适的NAT规则 检查防火墙路由,特别注意子网掩码 充分利用防火墙日志 如是TCP连接失败,可先利用telnet检查服务端口是否启动 出于简化问题的目的,在检查网络问题时,可先去除URL过滤等应用层 或附加功能。 防火墙故障一般检查步骤问题的定位(续)vA.客户端vB.防火墙vC.服务器端问题的定位(续)v对比分析没有出现问题和出现问题时的数据流的通讯情况v对比分析不同操作系统,应用,服务器等各个方面情况的数据包的情况v缩短应用通讯所跨的设备,快速定位问题所体现的具体物理位置谢谢!谢谢!
