防火墻故障排除案例

引言：在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為第一道安全防線，既可為內(nèi)部網(wǎng)絡(luò)提供必要的訪問控制，又不會造成網(wǎng)絡(luò)的瓶頸，保護(hù)網(wǎng)絡(luò)內(nèi)部的關(guān)鍵資源。本文結(jié)合筆者所用的天融信防火墻經(jīng)常遇到的幾種故障實例，談?wù)劮阑饓Φ木S護(hù)與故障排除方法。

防火墻是目前使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。在構(gòu)建安全網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為第一道安全防線，既可為內(nèi)部網(wǎng)絡(luò)提供必要的訪問控制，又不會造成網(wǎng)絡(luò)的瓶頸，并通過安全策略控制進(jìn)出系統(tǒng)的數(shù)據(jù)，保護(hù)網(wǎng)絡(luò)內(nèi)部的關(guān)鍵資源。由此可見，對于連接到Internet的企業(yè)內(nèi)部網(wǎng)絡(luò)而言，選用防火墻是非常必要的。下面就結(jié)合筆者所用的天融信防火墻經(jīng)常遇到的幾種故障實例，來談?wù)勅绾畏雷o(hù)墻的維護(hù)。

實例一：客戶機(jī)無法Telnet或GUI管理防火墻

遇客戶機(jī)無法Telnet或GUI管理防火墻的情況，應(yīng)首先檢查防火墻登錄控制中是否允許Telnet或GUI管理，若防火墻客戶端列表中無Telnet或GUI管理，則增加防火墻Telnet或GUI管理登錄客戶。注意，正確選擇登錄客戶的類型和正確填寫該登錄用戶的IP地址范圍。

其次，檢查登錄源主機(jī)的IP是否在設(shè)定的IP地址范圍內(nèi)，若不在設(shè)定范圍內(nèi)，則更改源主機(jī)的IP在設(shè)定的IP地址范圍內(nèi)。這一點特別要注意，很多防火墻維護(hù)人員為了方便，無限制地擴(kuò)大了管理防火墻的IP地址范圍，這樣無疑給整個網(wǎng)絡(luò)增加了新的安全隱患。然后，檢查該防火墻是否為首次使用的新墻，如果是，則確認(rèn)使用集中管理器（GUI管理）登錄防火墻的計算機(jī)應(yīng)連接在防火墻ETH2內(nèi)網(wǎng)接口上。

最后，檢查是否有相同用戶名的用戶已經(jīng)登錄防火墻，由于同名用戶不允許在同一時間登錄同一臺防火墻，因此若同用戶已經(jīng)登錄則應(yīng)更該登錄用戶名，這個現(xiàn)象經(jīng)常會遇到，特別是那種網(wǎng)頁式的防火墻，雖然限定了用戶的無響應(yīng)時間，但在這個時間段內(nèi)從別的計算機(jī)登錄時則無法管理防火墻。

實例二：增加策略禁止某主機(jī)，該主機(jī)仍能通過防火墻。

這種情況下首先應(yīng)檢查該主機(jī)與通信目標(biāo)主機(jī)間的通信通道是否經(jīng)過防火墻，如果不經(jīng)過防火墻，再好的策略也無法起作用，也不能通過增加防火墻策略禁止該主機(jī)和目標(biāo)主機(jī)間的通信。其次，檢查是否已有策略允許該主機(jī)通過防火墻，若存在該許可策略則刪除掉，大部分防火墻都遵循策略序號，即是從策略序號小的開始執(zhí)行，一旦一條策略對某臺主機(jī)生效后，后面針對該臺主機(jī)的策略也是無法執(zhí)行的，這一點要特別注意。最后，檢查測試源主機(jī)是否配置雙網(wǎng)卡以及多個IP地址，若是則禁用其中一個網(wǎng)卡。

實例三：IP地址綁定未起作用

遇到這種情況時應(yīng)該認(rèn)真分析，其實IP地址綁定分為IP地址與MAC地址綁定和IP地址與用戶綁定。當(dāng)IP地址綁定未起作用時，檢查綁定IP是否經(jīng)過其他路由設(shè)備（路由器、三層交換機(jī)）才到達(dá)防火墻，由于通過路由設(shè)備后IP地址已被更改，原綁定IP地址失效，解決方法是更改路由設(shè)備為交換設(shè)備。

實例四：使用防火墻后原本可互相訪問的主機(jī)無法通信

出現(xiàn)此問題主要有以下幾個原因：

第一，主機(jī)所在的不同區(qū)域配置成disable，應(yīng)保證區(qū)域配置為enable。

第二，通信雙方主機(jī)在同一網(wǎng)段，防火墻設(shè)置的VLAN不包含主機(jī)所在的區(qū)域，應(yīng)檢查防火墻的VLAN設(shè)置，必須有一個VLAN包含主機(jī)所在的區(qū)域。

第三，通信雙方主機(jī)不在同一網(wǎng)段，主機(jī)間沒有路由設(shè)備，防火墻配置成透明模式，應(yīng)在防火墻的兩個接口上配置相應(yīng)的IP地址，并把防火墻配置為路由模式。

第四，通信雙方主機(jī)不在同一網(wǎng)段，主機(jī)間有路由設(shè)備，沒有主機(jī)與路由設(shè)備在同一防火墻VLAN中，應(yīng)保證其中一臺主機(jī)與路由設(shè)備在同一個防火墻VLAN中。

第五，主機(jī)所在的區(qū)域訪問策略中有禁止主機(jī)雙方通信的策略，或主機(jī)所在區(qū)域的缺省訪問權(quán)限是禁止的，應(yīng)刪除禁止訪問策略，并保證缺省訪問權(quán)限是允許的。

經(jīng)驗總結(jié)

在很多人眼里，防火墻無疑是“高大上”的，但作為網(wǎng)絡(luò)安全運(yùn)維人員角度來看，防火墻無疑就是“軟件+硬件”的結(jié)合體，最重要的部分就是軟件，軟件水平的高低直接決定了防火墻的性能。默認(rèn)情況下，所有的防火墻都是按拒絕所有的流量或允許所有的流量，因此在防火墻的配置中，首先要遵循的原則就是安全實用，從這個角度考慮，在防火墻的配置中需堅持以下三個原則。

一是簡單實用原則。對防火墻環(huán)境設(shè)計來講就是越簡單越好。越簡單的實現(xiàn)方式，越容易理解和使用。而且是設(shè)計越簡單，越不容易出錯，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。目前常用的防火墻在基本功能上都或多或少都增加了一些特殊功能，但這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時可針對具體環(huán)境進(jìn)行配置，不必對每一功能都詳細(xì)配置。

二是全面深入原則。單一的防御措施是難以保障系統(tǒng)安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，不要停留在幾個表面的防火墻語句上，而應(yīng)系統(tǒng)地看等整個網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個系統(tǒng)。

三是內(nèi)外兼顧原則。防火墻的一個特點是防外不防內(nèi)，其實在現(xiàn)實的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來自內(nèi)部，所以要從根本上改變過去防外不防內(nèi)的傳統(tǒng)觀念。對內(nèi)部威脅可以采取其它安全措施，比如入侵檢測、主機(jī)防護(hù)、漏洞掃描、病毒查殺。部署與上述內(nèi)部防護(hù)手段一起聯(lián)動的機(jī)制。