防火墻故障排除案例

引言：在構建安全網絡環境的過程中，防火墻作為第一道安全防線，既可為內部網絡提供必要的訪問控制，又不會造成網絡的瓶頸，保護網絡內部的關鍵資源。本文結合筆者所用的天融信防火墻經常遇到的幾種故障實例，談談防火墻的維護與故障排除方法。

防火墻是目前使用最為廣泛的一種網絡安全技術。它是不同網絡或網絡安全域之間信息的惟一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。在構建安全網絡環境的過程中，防火墻作為第一道安全防線，既可為內部網絡提供必要的訪問控制，又不會造成網絡的瓶頸，并通過安全策略控制進出系統的數據，保護網絡內部的關鍵資源。由此可見，對于連接到Internet的企業內部網絡而言，選用防火墻是非常必要的。下面就結合筆者所用的天融信防火墻經常遇到的幾種故障實例，來談談如何防護墻的維護。

實例一：客戶機無法Telnet或GUI管理防火墻

遇客戶機無法Telnet或GUI管理防火墻的情況，應首先檢查防火墻登錄控制中是否允許Telnet或GUI管理，若防火墻客戶端列表中無Telnet或GUI管理，則增加防火墻Telnet或GUI管理登錄客戶。注意，正確選擇登錄客戶的類型和正確填寫該登錄用戶的IP地址范圍。

其次，檢查登錄源主機的IP是否在設定的IP地址范圍內，若不在設定范圍內，則更改源主機的IP在設定的IP地址范圍內。這一點特別要注意，很多防火墻維護人員為了方便，無限制地擴大了管理防火墻的IP地址范圍，這樣無疑給整個網絡增加了新的安全隱患。然后，檢查該防火墻是否為首次使用的新墻，如果是，則確認使用集中管理器（GUI管理）登錄防火墻的計算機應連接在防火墻ETH2內網接口上。

最后，檢查是否有相同用戶名的用戶已經登錄防火墻，由于同名用戶不允許在同一時間登錄同一臺防火墻，因此若同用戶已經登錄則應更該登錄用戶名，這個現象經常會遇到，特別是那種網頁式的防火墻，雖然限定了用戶的無響應時間，但在這個時間段內從別的計算機登錄時則無法管理防火墻。

實例二：增加策略禁止某主機，該主機仍能通過防火墻。

這種情況下首先應檢查該主機與通信目標主機間的通信通道是否經過防火墻，如果不經過防火墻，再好的策略也無法起作用，也不能通過增加防火墻策略禁止該主機和目標主機間的通信。其次，檢查是否已有策略允許該主機通過防火墻，若存在該許可策略則刪除掉，大部分防火墻都遵循策略序號，即是從策略序號小的開始執行，一旦一條策略對某臺主機生效后，后面針對該臺主機的策略也是無法執行的，這一點要特別注意。最后，檢查測試源主機是否配置雙網卡以及多個IP地址，若是則禁用其中一個網卡。

實例三：IP地址綁定未起作用

遇到這種情況時應該認真分析，其實IP地址綁定分為IP地址與MAC地址綁定和IP地址與用戶綁定。當IP地址綁定未起作用時，檢查綁定IP是否經過其他路由設備（路由器、三層交換機）才到達防火墻，由于通過路由設備后IP地址已被更改，原綁定IP地址失效，解決方法是更改路由設備為交換設備。

實例四：使用防火墻后原本可互相訪問的主機無法通信

出現此問題主要有以下幾個原因：

第一，主機所在的不同區域配置成disable，應保證區域配置為enable。

第二，通信雙方主機在同一網段，防火墻設置的VLAN不包含主機所在的區域，應檢查防火墻的VLAN設置，必須有一個VLAN包含主機所在的區域。

第三，通信雙方主機不在同一網段，主機間沒有路由設備，防火墻配置成透明模式，應在防火墻的兩個接口上配置相應的IP地址，并把防火墻配置為路由模式。

第四，通信雙方主機不在同一網段，主機間有路由設備，沒有主機與路由設備在同一防火墻VLAN中，應保證其中一臺主機與路由設備在同一個防火墻VLAN中。

第五，主機所在的區域訪問策略中有禁止主機雙方通信的策略，或主機所在區域的缺省訪問權限是禁止的，應刪除禁止訪問策略，并保證缺省訪問權限是允許的。

經驗總結

在很多人眼里，防火墻無疑是“高大上”的，但作為網絡安全運維人員角度來看，防火墻無疑就是“軟件+硬件”的結合體，最重要的部分就是軟件，軟件水平的高低直接決定了防火墻的性能。默認情況下，所有的防火墻都是按拒絕所有的流量或允許所有的流量，因此在防火墻的配置中，首先要遵循的原則就是安全實用，從這個角度考慮，在防火墻的配置中需堅持以下三個原則。

一是簡單實用原則。對防火墻環境設計來講就是越簡單越好。越簡單的實現方式，越容易理解和使用。而且是設計越簡單，越不容易出錯，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。目前常用的防火墻在基本功能上都或多或少都增加了一些特殊功能，但這些增值功能并不是所有應用環境都需要，在配置時可針對具體環境進行配置，不必對每一功能都詳細配置。

二是全面深入原則。單一的防御措施是難以保障系統安全的，只有采用全面的、多層次的深層防御戰略體系才能實現系統的真正安全。在防火墻配置中，不要停留在幾個表面的防火墻語句上，而應系統地看等整個網絡的安全防護體系，盡量使各方面的配置相互加強，從深層次上防護整個系統。

三是內外兼顧原則。防火墻的一個特點是防外不防內，其實在現實的網絡環境中，80%以上的威脅都來自內部，所以要從根本上改變過去防外不防內的傳統觀念。對內部威脅可以采取其它安全措施，比如入侵檢測、主機防護、漏洞掃描、病毒查殺。部署與上述內部防護手段一起聯動的機制。