一、环境问题
1、访问数据未到达防火墙;
//数据包入口抓包,确定数据有转发到防火墙上,若是公网访问,则需要注意公网封堵常见端口,常见有80、8080、443此类端口被运营商封堵
2、防火墙没有学习到前后设备的ARP信息;
//命令行使用arp,新架构用show arp查看MAC表确认
3、若是公网IP是拨号的动态IP,则需要配置花生壳将出接口IP和域名绑定,或者更换为固定IP做映射;
//动态IP无法直接做映射,因为他会改变
4、防火墙正常转换转发,但是未收到服务器回包或收到了拒绝包;
//源地址转换后,容易存在源IP多次访问被中间设备封堵的情况,可换一个源IP访问测试(转换后的源IP修改下)
二、配置问题
1、双向策略配置错误(内网区域未配置,或配置少了、网络对象、源目端口)
//使用地址转换模拟匹配工具确认是否能够匹配上策略,常见有配置源端口限制导致无法匹配地址转换策略
2、策略未放通导致;
//开启直通白名单测试
3、源目地址网段的路由配置错误;
//使用路由模拟匹配工具测试,确认去往服务器的路由正常
4、应用控制策略开启了长连接,导致连接数跑满,新数据无法匹配源地址转换;
//页面看并发连接数确认
5、【新架构】接口未勾选源进源出,回包匹配了路由发错口
6、【新架构】路由优先级问题导致匹配了更高优先级的路由转发错了口
三、产品问题
1、数据两次经过防火墙(二次穿透)导致拦截;
//配置多次穿越放通
2、连接跟踪冲突导致匹配不上源地址转换;
发表于 2022-9-5 08:48
