请选择 进入手机版 | 继续访问电脑版

迪普科技技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信 迪普新浪微博  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP xCampus安全虚拟园区网解决方案 DP xCloud云数据中心方案 DNS攻击防护技术解决方案

查看: 4298|回复: 5

FW&UTM-FAQ

[复制链接]

39

主题

70

帖子

551

积分

高级会员

Rank: 4

积分
551
发表于 2014-10-11 16:10:21 | 显示全部楼层 |阅读模式
产品型号
功能模块
内容
FW
包过滤
现象描述:视频会议、数据库服务等业务会出现不定期的中断
原因分析:为保证网络的安全性,设备对TCP、UDP等协议设定了老化时间,当会话达到该时间后将自动老化。
解决方案:开启长连接
备注:开启长连接的策略需要放在最前面,长连接要精细各项配置
FW
VPN
现象描述:配置SSL VPN完成后,远程可以通过公网拨入,但是无法访问内网
原因分析:由于接口tunnel_ssl0没有加入安全域
解决方案:将接口tunnel_ssl0加入对应的安全域即可
备注说明:
FW
NAT
现象描述:FW出口做源NAT无法正常上网
原因分析:NAT公网地址池未向对端设备更新ARP信息
解决方案:检查NAT公网地址是否属于出口直连网段内,如果属于,地址池勾选“发送免费ARP”;
备注说明:
FW
其他
现象描述:FW开启IPS和防毒墙功能后测试未报日志
原因分析:包过滤策略中未调用
解决方案:配置完成IPS和防毒墙策略后,在包过滤中动作为“通过”的改为“高级安全业务”并调用策略
备注说明:
FW
高可靠性
现象描述:FW配置静默双机后配置未实时同步
原因分析:确定配置顺序是否存在错误
解决方案:先配置心跳接口和IP,再配置静默双机配置并检查FW的双机状态是否正常,再配置其他业务配置;
备注说明:若为框式设备,针对心跳线数据需要配置二层ACL并动作重定向至主控板或CPU
FW
其他
现象描述:防火墙在和一些较老的版本的Cisco交换机互联时,会不定时出现某个端口DOWN后不能UP,show interfaces status 查看交换机端口存在err-disable,插拔连接线不能解决,必须手动shutdown,no shutdown进行激活,
原因分析:是keepalive loopback功能导致,IOS在12.1EA之前,默认情况下交换机会在所有接口都发送keepalive信息,由于一些不同交换机协商spanning-tree可能会有问题,一个接口又收到了自己发出的keepalive,那么这个接口就会变成err-disable了
解决方案:把keepalive关了。或者把ios升到12.2SE.
备注说明:
UTM
其他
现象描述:CF卡使用率100%,不能升级特征库
原因分析:日志发送配置将“摘要日志”打勾,“摘要日志”保存在本地
解决方案:取消“摘要日志”,请研发协助删除日志文件cam_log.db
备注说明:在设备保存多个整机配置文件也可能导致此现象
FW
包过滤
现象描述:做浮动路由时候,两端配置对端地址icmp健康检查,开启trust到untrust阻断策略,只放通相应业务通信地址,导致一端主、备份链路切换,来回路径不一致,导致业务中断。
原因分析:开启trust到untrust阻断策略时,同时阻断了健康检查报文。
解决方案:放通trust到untrust互联vlan地址的访问。
备注说明:
FW
虚拟化
现象描述:政务外网访问服务器时无法PING通情况
原因分析:数据报文从政务外网转发到OVC_public(三层)防火墙,再由OVC_public防火墙转发到OVC_server(二层)防火墙,此时,数据包源MAC地址将封装OVC_public防火墙上MAC地址,数据报文穿过OVC_server防火墙送达服务器。服务器回包时,封装目的MAC为OVC_public接口上MAC地址,而此MAC地址与OVC_server防火墙端口上MAC地址相同,当OVC_server收到该报文后将把该丢弃,导致不通。(我司设备各端口MAC地址均相同)
解决方案:1、修改OVC_public各接口MAC地址
         2、OVC_public防火墙与核心互联时采用三层互联。
备注说明:
FW
高可靠性
现象描述:防火墙配置静默双机后,通过关闭核心交换机与防火墙互联端口方式,进行主备倒换,会出现从核心交换机上无法ping通防火墙现象
原因分析:交换机上关闭端口后,再重新开启端口,此时交换机上该端口将进行STP收敛(30秒),而我司设备静默双机在进行主备倒换时,会发送免费arp报文刷新MAC表,默认1秒/次,最大次数10秒。当免费ARP发送完成后,STP还未完成收敛,从而导致防火墙上arp无法刷新,需在防火墙上主动PING交换机才可。
解决方案:1、修改静默双机中免费arp发送时间间隔,总间隔应大于30秒。
         2、关闭交换机与防火墙互联端口stp功能。
备注说明:
FW
VPN
现象描述:IPsec vpn本端IP地址相同,对端IP地址都为any时,配置第二条报错配置不上。
原因分析:两条策略匹配成相同的,配置失败。
解决方案:把第二条在高级中改为aggressive模式后可以配置上。
备注说明:如果改为野蛮模式,2端要改为一致。
FW
其他
现象描述:使用我司防火墙做链路负载,网银等业务无法访问
原因分析:源目地ip不一致,导致网银等业务认证失败
解决方案:在等价路由配置中,将算法改为源IP算法
备注说明:FW没有会话保持功能
备注说明:
FW
其他
现象描述:使用我司防火墙访问web页面出现打开网页慢,第一个网页打开速度正常,之后网页打开速度越来越慢。
原因分析:开启了防火墙基本防护功能中端口扫描、地址扫描的阻断功能。耗费资源较大。
解决方案:正常情况下将阻断功能改为监控状态发送日志。
备注说明:
FW
其他
现象描述:我司防火墙启用GRE VPN功能,用户通过GRE VPN隧道不能通过我司防火墙上互联网,但是能ping通外网地址。
原因分析:在防火墙上turnnel口的TCP-MSS值设置过大,导致对GRE VPN载荷报文进行了分片。
解决方案:需把GRE对应的tunnel口tcp_mss 修改为1424即可。
备注说明:(默认1460字节,IP头20字节,GRE头8字节)盒式设备TCP mss需要按照接口修改,截图中的为框式设备配置页面
FW
高可靠性
现象描述:开启静默双机后,在备用FW的命令行下通过shutdown关闭静默监听接口后,主用FW对应接口也同步关闭。
原因分析:通过命令的方式关闭静默监听接口表中的业务接口,两台静默双机热备防火墙会自动同步。
解决方案:进行主备防火墙切换时,需要将静默监听接口线拔掉,接口状态不会进行同步。
备注说明:
FW
VPN
现象描述:利用SSLvpn代理访问外网web资源的时候,公网地址只能是接口地址,而不能根据需要,配置更改成地址池地址
原因分析:目前sslvln代理上网只能通过代理接口IP出去
解决方案:需要研发开发支持
备注说明:
FW
包过滤
现象描述:二层模式时,配置主要业务通过,其他丢包后,业务中断;
原因分析:透传的除主要业务外,还存在动态路由协议或者BFD/NQA链路检测报文;
解决方案:配置动态路由协议(RIP UDP 520/OSPF 协议号89)或者BFD(使用UDP DPORT 3874)/NQA(使用ICMP协议)的包过滤放行
备注说明:
FW
包过滤
现象描述:地址对象更改后,在包策略未生效,需要在包过滤策略中修改点击确认重新下发。
原因分析:修改地址对象等后,包过滤不会重新编译。
解决方案:目前版本在地址对象,服务对象等配置页面上方有“同步到策略”的选项,配置完后,点击该选项,会重新编译策略。
备注说明:
FW
NAT
现象描述:割接防火墙后,客户反馈在内网用户使用公网地址以及域名不能访问应用(DNS服务器在外网)。
原因分析:
解决方案:针对使用域名访问应用,在防火墙上开启DNSALG;
         针对使用公网地址访问应用,在设备内网口配置目的NAT,如果PC网关不在防火墙上,需在内网口再添加内网口源NAT,保证数据流对称。
备注说明:
FW
VPN
现象描述:防火墙旁路部署在两台出口路由器下,防火墙开启SSLVPN功能,两台出口路由器分别做DNAT映射到防火墙的内网两个接口,用于对外提供SSLVPN服务器,防火墙对外和对内都配置两条等价路由,防火墙开启会话转发,组网连通性配置完毕后,外网用户分别访问两台路由器SSLVPN的公网地址,出现有时访问正常,有时访问不通的问题。
原因分析:防火墙无法进行sslvpn的会话转发,SSLVPN数据通过查询路由转发,从而SSLVPN的来回报文不一致导致业务不通。
解决方案:暂无
备注说明:
FW
VPN
现象描述:登陆SSLVPN后,访问SSLVPN资源速度很慢。
原因分析:SSLVPN资源配置在“WEB资源配置列表”内,WEB资源列表因为是需要通过设备代理去访问的,所以会导致访问速度慢。
解决方案:将VPN资源配置在“快捷方式配置”内。
备注说明:
FW
包过滤
现象描述:防火墙配置目的NAT后,公网PC仍然无法访问内网服务器
原因分析:包过滤策略未放通目的地址为内网服务器IP地址
解决方案:配置包过滤策略,目的IP地址为内网地址池对应的IP地址(服务器实际地址),而非目的NAT配置中的公网IP地址
备注说明:
FW
VPN
现象描述:开启sslvpn使用双因子认证失败
原因分析:设备证书和用户证书不一致
解决方案:使用设备生成证书,导出用户证书时需要更新设备设备证书
备注说明:
FW
路由配置
现象描述:在OSPF路由配置中,勾选引入静态路由(或直连路由)后,查看OSPF路由表发现所有静态路由(或直连路由)全部引入到OSPF中。
原因分析:web界面OSPF配置中不支持选择性的引入静态路由(直连路由)
解决方案:通过串口或者telnet模式下,配置route-map控制引入网段,再在OSPF中调用route-map。
备注说明:
FW
安全域
现象描述:用户办公网使用FW做网关,通过ADSL拨号上网,已正常拨号获取到IP,但是内网pc无法正常访问外网,pc到FW内网口可以ping通,在FW能ping通下一跳地址
原因分析:逻辑ppp接口未加入到安全域
解决方案:将ppp接口加入到安全域
备注说明:FW设备WAN口涉及pppoe拨号上网的,必须注意安全域、NAT等配置模块的接口必须选择ppp口
备注说明:
FW
高可靠性
现象描述:FW与第三方设备启用BFD,两端配置相同的参数(50 50 3),所有接口BFD状态up,shutdown接口并重新开启后BFD状态无法up
原因分析:抓包分析因对端设备对BFD状态协商阶段对超时定义与标准规范不符,只能采用调整FW的BFD参数规避
解决方案:将FW的BFD参数改为(200 200 3)
备注说明:与第三方设备启用BFD检查,提前抓包分析对端设备BFD全会话报文,确保设定参数有效
备注说明:
FW
高可靠性
现象描述:两台FW透明部署在客户网络,上联和下联设备均采用双主部署,两台FW加心跳线进行配置同步,用户网络频繁出现时断时续
原因分析:部分报文来回路径不一致导致该部分报文被FW丢弃,因FW有TCP全状态检查机制
解决方案:关闭TCP全状态检测
备注说明:
FW
其他
现象描述:指定静态路由、策略路由后,数据并未按路由转发
原因分析:开启了会话转发功能,会话转发优先级别策略路由或其它形式路由优先级高
解决方案:关闭会话转发功能。
备注说明:
FW
NAT
现象描述:开启ALG功能,在内网无法通过域名加非80端口的方式访问内网服务器
原因分析:我们在ALG功能只针对ALG列表中的服务端口进行DNS报文修改
解决方案:开启内网接口和外网接口的双向NAT功能
备注说明:
FW
路由配置
现象描述:在web业务无法修改OSPF进程号,web页面默认就是进程1 ,在命令下可以创建非1的OSPF进程号
原因分析:WEB页面没有显示和配置进程号的开关
解决方案:选择web页面配置就只能 在进程1中进行,其他的进程ID的创建必须在命令下操作
备注说明:
FW
VPN
现象描述:SSL VPN采用本地认证+USB-KEY签名认证,认证异常怎么办?
原因分析:
解决方案:在设备策略及USB-KEY运行正常情况下,关闭浏览器Internet选项中的“安全-启动保护模式”、“高级-检查发行商的证书是否吊销”、“高级-检查服务器证书吊销”
备注说明:
FW
VPN
现象描述:在接入模式为PPPoE下,互联网访问速度变慢,为什么?
原因分析:
解决方案:修改PPPoE所在物理口tcp_mss为1452(PPPoE头8字节,默认1460),特殊场景下内网口tcp_mss也需修改为1452
备注说明:
FW
VPN
现象描述:设备开启SNAT且出口地址使用地址池,外网口产生大量环回报文,且设备CPU使用率大幅上升,为什么?
原因分析:ARP风暴
解决方案:包过滤添加untrust到untrust的deny策略,或在SNAT地址池上开启防回环路由功能(地址池防环回路由不可应用在DNAT)
备注说明:
FW
VPN
现象描述:各类VPN使用的端口号是什么?
原因分析:
解决方案:(1)IPSec:UDP-500(非NAT穿越下,第一、二阶段均UDP500,数据被封装无需单独端口)、UDP-4500(NAT穿越下,第一阶段UDP500,第二阶段UDP4500,数据被封装无需单独端口)、IP/IPX-51(AH)、IP/IPX-50(ESP)
(2)SSL:TCP-6443(登陆端口,可自定义修改)、TCP-5443(数字证书认证)、TCP-14217(设备给客户端分配地址等资源)、UDP-4443(数据传输)
(3)GRE:IP/IPX-47
(4)L2TP:UDP-1701
(5)PPTP:TCP-1723
备注说明:
FW
VPN
现象描述:由于接口up/down、整网路由变化等因素导致路由发生变化,部分固定五元组的UDP业务例如raduis、DNS以及某些私有的OA应用等流量转发不通
原因分析:
解决方案:开启路由变化快转快速老化功能。
备注说明:
FW
VPN
现象描述:1、用户首次登陆,客户端无法安装,IE停止响应,弹出停止工作对话框
         2、离线安装客户端,用户登陆,客户端无法调用,IE停止响应,弹出停止工作对话框
原因分析:IE中某些设置将客户端插件调用阻止
解决方案:进入IE【工具】-【Internet选项】-【高级】-【重置】
备注说明:

回复

使用道具 举报

81

主题

132

帖子

1万

积分

论坛元老

Rank: 8Rank: 8

积分
11374
发表于 2014-10-11 16:30:05 | 显示全部楼层
赞楼主,写的都好平时工作中遇到的问题,都是经典问题,值得大家学习
回复 支持 反对

使用道具 举报

28

主题

108

帖子

4771

积分

论坛元老

Rank: 8Rank: 8

积分
4771
发表于 2014-10-13 09:12:59 | 显示全部楼层
赞!赞!!!很实用的FAQ!
回复 支持 反对

使用道具 举报

221

主题

760

帖子

22万

积分

超级版主

Rank: 8Rank: 8

积分
223275
发表于 2014-10-13 15:53:30 | 显示全部楼层
此贴必火啊,感谢楼主分享!!!
回复 支持 反对

使用道具 举报

0

主题

3

帖子

45

积分

新手上路

Rank: 1

积分
45
发表于 2015-1-20 15:18:45 | 显示全部楼层
太给力了
回复

使用道具 举报

7

主题

54

帖子

466

积分

中级会员

Rank: 3Rank: 3

积分
466
QQ
发表于 2015-5-5 18:05:23 | 显示全部楼层
经典之作!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|迪普科技

GMT+8, 2019-5-22 11:57 , Processed in 0.177935 second(s), 22 queries .

Powered by Discuz! X3.1

© 2001-2014 Comsenz Inc.

快速回复 返回顶部 返回列表