MIP地址属于global区域,定义策略时也可使用于任何区段,而各区段中的any并不包括MIP地址,故set policy from
untrust to dmz x.x.x.x any any
deny并不能拒绝对MIP地址的访问。网络环境:某用户反映 500防火墙部分策略无法生效问题,到达现场后对用户环境进行了分析。用户网络局部环境如
下,DMZ区WEB服务器通过防火墙的MIP(220.220.A.B/10.1.1.1)映射提供外部WEB访问业务,同时使用IDS提供WEB业务入
侵保护,当IDS发现攻击行为时,将远程登陆到防火墙上添加策略拒绝攻击流量。故障现象:用户对网络进行攻击测试,检验IDS与防火墙的联动保护功能是否
有效。攻击发生时,IDS每检测到一个攻击包,就登陆到防火墙配置 拒绝策略:set policy from untrust to dmz
x.x.x.x 10.1.1.1 http
deny。由于WEB服务器采用MIP映射,该策略无法有效拦截攻击流量,IDS持续添加同一条策略到防火墙中,导致防火墙中出现1000多条同一策略。
维护人员检查到这种现象后,手动添加一条策略并置于策略表顶部:set policy from untrust to dmz x.x.x.x
any any deny
,发现此时仍然无法拒绝攻击流量,用户据此认为Netscreen防火墙策略实现存在问题。故障定位:打开Debug跟踪包处理情况,发现流量没有击中手
动添加的拒绝策略,而是击中原有策略:set policy from untrust to dmz any 220.220.A.B http
permit,此时该策略位于策略表底部。由于MIP地址位于global区域,而此时set policy from untrust to dmz
x.x.x.x any any deny中的any并不包括global区段的220.220.A.B地址。导致set policy from
untrust to dmz x.x.x.x any any deny策略没有生效。解决方法及处理小结:调整现有策略为set policy
from untrust to global any 220.220.A.B http permit,同时调整IDS策略脚本为set
policy from untrust to global x.x.x.x 220.220.A.B http
deny。该问题因用户没有正确理解MIP地址属于global区段,而dmz中的any并不包含MIP地址,也没有按标准方式部署策略而引起。现有策略
虽然可以正常使用,但是当策略调整时容易出现策略匹配混乱问题。
阅读(1150) | 评论(0) | 转发(0) |
