收藏
下载资源 加入VIP免费专享

15防火墙故障排除高级指南.ppt

上传人:sccc 文档编号:5824226 上传时间:2023-08-24 格式:PPT 页数:40 大小:2.49MB
返回 下载 相关 举报
15防火墙故障排除高级指南.ppt_第1页
第1页 / 共40页
15防火墙故障排除高级指南.ppt_第2页
第2页 / 共40页
15防火墙故障排除高级指南.ppt_第3页
第3页 / 共40页
15防火墙故障排除高级指南.ppt_第4页
第4页 / 共40页
15防火墙故障排除高级指南.ppt_第5页
第5页 / 共40页
点击查看更多>>
资源描述

《15防火墙故障排除高级指南.ppt》由会员分享,可在线阅读,更多相关《15防火墙故障排除高级指南.ppt(40页珍藏版)》请在三一办公上搜索。

1、防火墙故障排除高级指南,(此PPT仅限公司内部使用),产品部 李海全 2005.9,课程内容,产品功能及原理(突出重点,简),对写方案作规划有帮助安装调试培训(随带说明,简),对实施有帮助疑难分析问题方法(重点),对售后,树立专业形象有帮助安全策略设计(说明原则,简)产品选型评测方法和术语(重点),如何应对评测常用网络工具使用(提供工具包,简单演示),如何分析问题案例操作(简),产品功能及原理,基本功能防火墙的种类关键问题:在选择之前,必须思考的一些问题传统边界防火墙的主要应用环境疑难问题分析方法安全策略设计产品选型评测常用网络工具使用案例操作,基本功能,过滤进出网络的数据管理进出网络的访问行

2、为封堵需要禁止的业务记录通过防火墙的信息内容和活动对网络攻击进行检测和报警,防火墙的种类,路由器:简单的路由器是一种便宜的安全防护模式封包过滤状态检测应用层代理,关键问题,防火墙必须允许或拒绝的网络协定或应用层网络传输防火墙在控制网络传输的时候是否需要做身份认证如何建立规则是否可以隐藏网络地址是否有一个以上的网址,能够保护网络上数个web和email服务器不受攻击是否可以过滤java和activex如何保证防火墙自身的安全能不能够在不影响安全性的情况下处理所有的网络传输活动应该提供事件记录和告警,并且审计网络活动记录是否简单易用是否提供内容过滤可扩展性是否很好,能不能满足将来的需求,关键问题(

3、续),是否能实现远程管理和集中管理能不能和其他产品互通,互动(第三方IDS/第三方网络管理系统),防火墙的应用环境,控制来自互联网对内网的访问控制来自第三方局域网对内网的访问控制局域网内部不同部门网络之间的访问控制对服务器中心网络访问,安装培训调试,弄清楚用户的网络环境弄清楚用户的应用需求弄清楚用户未来的发展需求弄清楚用户对防火墙要求的侧重点告诉用户安全的概念,安全是一个体系。告诉用户防火墙的基本原理告诉用户其自身网络环境的特点以及安全建议告诉用户如何配置防火墙告诉用户出现疑问和问题如何获得帮助,疑难问题的分析方法,问题的查找问题的定位:如何快速断定是网络问题、配置问题、产品问题问题的分析,问

4、题的查找,先看FAQ对应功能模块,如果FAQ没有提到该问题,那么需要参考随机手册网络拓扑具体应用问题?是否做了NAT,反向NAT,应用是否为动态协议很多应用需要在安全规则中先配置允许访问防火墙才可,比如VPN、集中管理、用户认证等稳定性问题,表现频度,网络环境的问题,是否回环?是否旁路?是否路由的问题是否物理介质的问题,包括网线等是否接口协商模式的问题(100 Full/100Half/10Full/10Half)是否vlan环境,具体应用的问题,是否搞清楚应用的通讯机制(协议,端口,地址类型)是否动态协议(FTP/TNS/H323/SIP/RTSP)应用访问客户端和服务端是否都做了nat,稳

5、定性问题,是否集群是否热备对比开始和出现问题时的内存状况对比开始和出现问题时的CPU状况对比开始和出现问题时的网络流量对比开始和出现问题时的ARP表的状态,防火墙故障分析基本流程 故障分析基本流程图,区分是原有网络故障还是加入防火墙引发故障:防火墙配置全通安全规则,可能的话以路由器代替防火墙来进行判断区分是防火墙自身故障还是因加入防火墙引发网络故障 利用TCP/IP模型辅助判断故障原因 利用抓包分析工具(如TCPDUMP)对通讯数据包进行分析如果确定是防火墙故障,则应对防火墙配置进行检查,防火墙故障分析基本流程 常用分析、判断方法,TCP/IP参考模型简介故障判断举例,利用TCP/IP模型定位

6、故障,TCP/IP参考模型简介,拓朴图,故障判断举例,举例:故障现象1从内网客户端访问DMZ中的WEB服务器不通 故障现象2从内网可telnet到DMZ中的WEB服务器的80端口 故障现象3从DMZ客户端可正常访问DMZ中的WEB服务器,分析:1“从DMZ客户端可正常访问DMZ中的WEB服务器”说明WEB服务器功能正常 故障分析基本流程图 2 经防火墙可telnet通说明到TCP层正常,则说明问题出在TCP层上面,即HTTP应用协议上TCP/IP分层模型 3 抓包分析,发现WEB服务器有最多5个客户的license限制,基本网络知识简介TCPDUMP常用参数常见应用举例疑难故障分析举例,利用T

7、CP/IP模型分析故障 分析通讯数据包定位故障,基本网络知识简介,TCP/IP参考模型,分析通讯数据包定位故障,源/目MAC地址(ethernet),Ethertype(ethernet),Identificiation(IP),Protocol(IP),源/目IP地址(IP),源/目端口(TCP),Sequence Number(TCP)(Next expected Seq number-Sequence Number=TCP Data),Acknowledgment number(TCP),TCP Flags(TCP),应用层协议(FTP,HTTP),Time to live(TTL)(I

8、P),IP Flags(IP),基本网络知识简介,源/目MAC地址防火墙是否真的接到这个数据包?,Ethertype标识上层协议类型,分析通讯数据包定位故障,Identificiation(IP)确定防火墙是否转发了某个包,Protocol(IP)标识上层协议,IP Flags是否允许分片,MTU,分析通讯数据包定位故障,源/目IP地址(IP),Time to live(TTL)(IP)为0就不再转发,分析通讯数据包定位故障,源/目端口(TCP)与IP一起确定 连接,TCP Flags(TCP)与TCP状态相关,分析通讯数据包定位故障,Sequence Number(TCP),Acknowle

9、dgment number(TCP),这两个字段合起来就可确定某个包是否为另一个包的响应包,分析通讯数据包定位故障,应用层协议(FTP,HTTP),分析通讯数据包定位故障,tcpdump采用命令行方式,它的命令格式为:tcpdump-adeflnNOpqStvx-c 数量-F 文件名-i 网络接口-r 文件名-s snaplen-T 类型-w 文件名 表达式,-e 在输出行打印出数据链路层的头部信息;-n 不把网络地址转换成名字;-t 在输出的每一行不打印时间戳;-v 输出一个稍微详细的信息(id指ip identification,也包括TCP Flags),分析通讯数据包定位故障,TCPD

10、UMP常用参数(support账户支持),-c 在收到指定的包的数目后,tcpdump就会停止;-i 指定监听的网络接口;-S 打印绝对TCP序列号-s 0 抓整个数据包-w filename 将抓到的包存入文件-X 输出包内容,分析通讯数据包定位故障,TCPDUMP常用参数(support账户支持),设置抓包过滤条件:类型关键字:host,net,port,缺省是host 传输方向关键字:src,dst,dst or src,dst and src,缺省是dst or src,协议类型关键字:fddi,ether,ip,arp,rarp,tcp,udp 逻辑运算符:取非运算是 not!,与运

11、算是and,或运算 是or,|;括号:“(”和“)”,可导出到ethereal一个图形化抓包分析程序,操作直观,简便,协议 分析能力强,分析通讯数据包定位故障,TCPDUMP常用参数(support账户支持),在eth0网口上抓主机1.1.1.1与2.2.2.2之间的icmp包,存盘:tcpdump-i eth0 s 0 w test.cap icmp and host 10.1.5.200 and(host 1.1.1.1),检查主机1.1.1.1与2.2.2.2之间的ARP通讯,显示源/目MAC地址 Tcpdump e arp and host 1.1.1.1 and host 2.2.2

12、.2,分析通讯数据包定位故障,TCPDUMP应用举例,故障现象:1、CPU利用率很高 2、经防火墙的通讯明显变慢,分析方法一:如果可能,将防火墙换为路由器,会发现路由器性能也在下降说明是 网络流量大导致所致。分析方法二:抓防火墙流量,应可看到如下特征 如果是蠕虫传播,应能看到源IP地址相同,目的IP地址不同的大量的SYN包。如果是有目的的DOS攻击,应能看到源IP地址不同,目的IP地址相同的大量SYN包。,分析通讯数据包定位故障,TCPDUMP应用举例-蠕虫&DOS攻击,拓朴图,分析通讯数据包定位故障,数据库变慢,故障现象:1、不加防火墙(用路由器),内网Oracle客户端可在2-3秒内 连通

13、Oracle服务器 2、添加防火墙,Oracle客户端需30-40秒才能连通Oracle服务器,分析:抓包分析,会发现从Oracle数据库的确在响应客户端请求,但中间暂停了30-40秒,再仔细检查,发现这期间数据库才执行DNS解析,添加允许数据库解析DNS的规则后,一切正常。,分析通讯数据包定位故障,检查防火墙周边网络环境与配置(如trunk,vlan等)检查防火墙网口IP地址,特别要注意子网掩码 按规则生效顺序检查规则,必要时可先设“全通”规则进行测试 如端口映射有问题,可先测试IP映射是否正常 如果要上互联网,一定要设置合适的NAT规则 检查防火墙路由,特别注意子网掩码 充分利用防火墙日志 如是TCP连接失败,可先利用telnet检查服务端口是否启动 出于简化问题的目的,在检查网络问题时,可先去除URL过滤等应用层 或附加功能。,防火墙故障一般检查步骤,问题的定位(续),A.客户端B.防火墙C.服务器端,问题的定位(续),对比分析没有出现问题和出现问题时的数据流的通讯情况对比分析不同操作系统,应用,服务器等各个方面情况的数据包的情况缩短应用通讯所跨的设备,快速定位问题所体现的具体物理位置,谢谢!,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 建筑/施工/环境 > 农业报告


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号