其次,是安全性quan方位保障:
传统网络防火墙主要针对网络层的防御,而随着互联网的不断发展,hei客攻击手段的层出不穷,现阶段网络攻击的主要目标已经是应用层。而公司下一代防火墙设计提出了“L2-7层”全方wei的防护保障,从(数据链路层)物理层到应用层,quan面进行防御,盐田区防火墙,避免了传统网络防火墙仅仅网络层防护的短板。
zui后,是更多的可能性:
公司下一代防火墙在防护手段上,不仅仅提出全周期防护,设计了L2-7层全fang位保障,更是具备强大的联动防御功能,为安全防护提供了更多的可能性。
情景描述:
防火墙做出口网关,内网三层交换机上总共有十个VLAN网段,其中九个可以正常上网,另外一个VLAN无法上网,现场工程师抓包分析防火墙没有回包。
排查过程:
询问现场工程师,防火墙上存在对应网段的回包路由,策略全部放通,源地址转换也有,中间也没有其它安全设备,正常有这些配置就可以上网了,里没有发现异常,那就远程排查吧。远程接入后查看设备配置,发现设备其中一个接口,配置了这个不能上网VLAN的地址,询问现场工程师接口为什么要配置这个地址,他回答该IP准备作为防火墙HA的互联地址,跟他解释了一通,去掉这个IP后,该VLAN上网正常。
原因分析:
防火墙接口上存在该VLAN地址,导致该网段上网异常。防火墙配置该网段,会在设备上生成直连路由,而直连路由的优先级是大于静态路由的,导致数据无法正常通过回执路由回包,数据包直接发送给其它接口,从而导致网络不通。
情景描述:
内网防火墙出现故障,防火墙-好用,导致无法发工资。通过防火墙替换该设备,由于内网环境不清楚,维护人员复杂,多方沟通,工程师远程没有搞定。
现场排查过程:
到了现场,先是了解了大概情况,防火墙路由模式部署,客户网络在防火墙wan方向,访问lan方向的业务系统,防火墙-厂商,通过映射后的地址访问。检查防火墙配置,发现防火墙是混合模式部署,还存在一组透明桥,配置了两条默认路由,默认路由的度量值也都一样,防火墙-检测,对其中设备管理的默认路由进行修改,改成明细路由。接着发现,业务访问的地址是10,而防火墙只配置地址2,并且没有对应的端口映射,将这些配置补全后,发现业务系统依然无法访问。通过在终端电脑上测试发现,终端ping防火墙wan口IP可以通,pingWAN口IP也就是业务访问的地址不通(因为不清楚具体端口,10直接全映射给业务系统了),在防火墙上ping业务系统IP可以通,通过在AF上做了双向源地址转换,业务访问正常。
原因分析:
远程工程师配置上存在问题,两条一样度量值的默认路由,匹配会存在问题,对应的配置没有配全。防火墙外网方向访问映射后的业务地址不通,防火墙LAN口访问业务正常,通过把外网进来的IP转换成防火墙LANIP实现业务访问正常。防火墙LAN口IP和业务系统IP属于同一网段,此种情况端口映射不通,可能是业务系统网关没有配置,或没有指向防火墙LAN口,亦或是其它方面的访问限制。由于没有人知道具体情况,无法进行验证。
云服科技(图)-防火墙-厂商-盐田区防火墙由深圳云服科技有限公司提供。行路致远,砥砺前行。深圳云服科技有限公司致力成为与您共赢、共生、共同前行的战略伙伴,更矢志成为无线网络设备具有竞争力的企业,与您一起飞跃,共同成功!
