防火墻故障的背后

引言： 筆者單位業務系統利用“前置機”與合作單位進行數據交換，在前置機上安裝數據庫軟件，建立合作單位數據庫。某日，由于前置機遭受攻擊，導致防火墻出現故障。本文介紹故障的排查過程。

目前，各單位業務系統普遍存在利用“前置機”與合作單位進行數據交換。隨著前置機應用范圍不斷擴大，安全問題不容忽視。

前置機顧明思議，就是兩個網絡系統的中間設備。筆者單位就是利用前置機模式來獲取合作單位數據。各合作單位通過互聯網訪問前置機。

筆者單位在機房部署一臺前置機，并在前置機上安裝數據庫軟件，建立合作單位數據庫。合作單位通過jdbc、odbc或者.net數據庫連接驅動器向前置機上各自的數據庫寫入數據，筆者單位在通過內部系統從前置機上抓取數據。網路拓撲如圖1所示。

故障現象

圖1 網絡拓撲圖

一日，筆者在對前置機上聯防火墻更新證書后，發現防火墻CPU利用率達到100%。仔細查看防火墻配置，并沒有特別多業務。再查看各接口流量和連接數，也都第二天發現防火墻CPU利用率又達到了100%。按照網絡結構分段排查，從前置機開始查找原因，先斷開前置機網絡，發現防火墻CPU利用率下降到0%。懷疑前置機中病毒或存在其他問題。經過對前置機全盤殺毒后，發現前置機存在木馬，查殺后，前置機接回網絡，防火墻狀態恢復正常。在正常范圍內，考慮可能是剛安裝完證書的原因，果斷重啟防火墻。重啟后，防火墻CPU利用率為1%。初步斷定，是更新防火墻證書造成的。過了一天，在筆者進行網絡巡查時，發現前置機防火墻CPU利用率又達到了100%。重啟防火墻，CPU利用率恢復到1%。筆者認為可能問題并不完全是更新證書的問題，可能存在外部攻擊。

故障排查

登錄防火墻，查看了各接口安全配置，發現所有接口都沒有啟動防攻擊設置，筆者啟動各接口防攻擊策略。

經驗總結

經過此次故障，筆者采用定期查殺前置機病毒，定期查看系統日志，增加前置機安全防范措施等措施。對于存在使用前置機的單位，除了為網絡增加防火墻安全設備外，也要充分利用防火墻安全策略，避免前置機完全暴露在互聯網中，也要增加前置機本身的安全防范，例如開啟日志記錄功能、安裝殺毒軟件、安全防火墻軟件。規范前置機使用規則，避免隨意使用。