防火墙的多次穿越问题处理过程分享

1、客户侧网络环境描述

      客户侧防火墙为混合模式部署，其中eth2、eth5、eth6口均为透明口，eth1、eth3、eth4均为路由口

  

       透明口：eth2口接电信线路，eth5和eth6均为业务口，客户侧业务服务器均配置公网IP

       路由口：eth3口接移动线路，eth1和eth4均为内网网段网关

2、问题描述：

      客户内网侧有个业务PC需要访问网闸外网口IP，发现无法访问

      业务侧位置如下图所示：业务主机上联AFeth4口，且出去访问外网侧的默认线路为移动线路

                                                  网闸上联AFeth6口，并配置公网IP，其公网网关位于AFeth2口侧

3、问题分析

（1）数据流分析

     通过分析PC到网闸侧及网闸到PC的流量，可知数据多次进出防火墙，需要配置多次穿越来解决：

【PC—网闸】：

PC---AF（进eth4）---AF（出eth3）---AF（进eth2）---AF（出eth6）---网闸

【网闸—PC】：

网闸---AF（进eth6）---AF（出eth2）---AF（进eth3）---AF（出eth4）---PC           

（2）数据包分析

配置多次穿越需要确定具体的数据包，需要对数据包进行分析：

【PC—网闸】：

AF（进eth4）---源：PC的内网IP                    目的：网闸的公网IP

AF（出eth3）---源：AF接口上的移动公网IP   目的：网闸的公网IP

AF（进eth2）---源：AF接口上的移动公网IP   目的：网闸的公网IP

AF（出eth6）---源：AF接口上的移动公网IP   目的：网闸的公网IP

【网闸—PC】：

AF（进eth6）---源：网闸的公网IP    目的：AF接口上的移动公网IP

AF（出eth2）---源：网闸的公网IP    目的：AF接口上的移动公网IP

AF（进eth3）---源：网闸的公网IP    目的：AF接口上的移动公网IP

AF（出eth4）---源：网闸的公网IP    目的：PC的内网IP

4、问题处理

      通过上述分析，对于【PC—网闸】侧，发现数据包【源：AF接口上的移动公网IP   目的：网闸的公网IP】多次进出防火墙，对于【网闸—PC】侧，发现数据包【源：网闸的公网IP    目的：AF接口上的移动公网IP】多次进出防火墙。

      防火墙是采用状态检测机制，它会通过跟踪连接状态和通信会话的信息，以及分析数据包的内容和特征，来判断数据包是否合法、可信，并采取相应的处理措施，同一个五元组的包进出防火墙，会导致防火墙无法处理，进而导致业务异常。添加多次穿越后的数据包，相当于直接bypass，不会在防火墙生成会话表，如果添加的数据流接口是路由口，就会导致导致路由、NAT等策略失效。

      因为数据流接口如果是路由口，就会导致导致路由、NAT等策略失效。而本次的eth3口及eth4口均需要使用路由及nat策略，所以添加的数据流接口只能是透明口eth2和eth6.

添加的多次穿越的数据流：

1、源：AF接口上的移动公网IP   目的：网闸的公网IP                数据包入接口：AF（进eth2）

2、源：AF接口上的移动公网IP   目的：网闸的公网IP                数据包入接口：AF（出eth6）

3、源：网闸的公网IP                 目的：AF接口上的移动公网IP  数据包入接口：AF（进eth6）

4、源：网闸的公网IP                 目的：AF接口上的移动公网IP  数据包入接口：AF（出eth2）

添加完多次穿越的数据流后，再防火墙就不会产生进出相同的五元组，此时业务也就能正常转发，PC访问网闸外网侧公网IP正常