#原创分享#设备加固后导致的故障问题排错

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励50000+“

1、问题描述

客户反馈对防火墙进行加固后导致学校WebVPN无法访问

2、处理过程

1）检查端口映射，发现匹配数都正常，公网TELNET端口也能通，说明映射配置没问题

2）通过IP访问试试是否能正常，发现还是异常，同时还发现了通过IP访问会自动跳转到域名

3）检查一下安全日志，是否有出现被拦截了，空白一片，说明没有被拦截

4）查看一下行为日志，是否有IP被封锁等情况导致的，发现居然有被默认的应用控制策略拦截了

拦截原因是教育网访问过来的流量被拦截了，这个做了端口映射也勾选了自动放通应用控制策略还被拦截（说明这里肯定有问题）

5）ping域名解析出来的IP不是做端口映射的IP，通过查询这个解析出来的IP发现是客户教育吗的IP地址

6）查看教育网接口并没有发现这个IP地址，查看端口映射后发现这个IP地址居然是服务器的IP

怀疑客户环境有可能是服务器直接配置了教育网的IP地址，咨询客户也不是很清楚部署情况，只能自己查询自己解决了

如果真的是服务器直接配置了教育网的地址那就说得通被默认应用控制策略拦截了，因为查看策略发现只是做了单项LAN->教育网的放通，所以教育网->LAN没有做允许策略，这样就匹配上了默认策略

7）查看一下自己的公网IP，然后通过对访问的公网IP进行直通，再检查是否能正常访问

开直通后刷新web界面能显示正常了，查看直通日志被应用控制策略拦截了

8）通过禁用端口映射后再直通访问测试，访问正常， 说明是直接通过路由方式实现数据交换，并非NAT环境

9）通过tracert 域名可以看到数据包走向，发现数据包是到了AF教育网接口后再通过路由到达服务器

查看AF的路由发现了服务器所在的路由

3、根因

通过上面的排查发现客户服务器直接配置了教育网的IP地址，通过三层路由实现数据包传输，并非使用端口映射实现的，由于做了加固，把原来的应用控制策略双向（LAN<->教育网）改成了单（LAN->教育网）,所以匹配到了默认策略拦截了

4、处理办法

通过应用控制策略新增一条允许（教育网->LAN的策略）

源区域选择教育网区域，源地址和源端口都是全部

目的是服务器所在的区域，目的地址选择网络对象调用服务器的IP地址，服务就选择80和443，对外只需要使用这两个端口，所以我们就放通这两个，不放通其它端口，提高服务器的安全

感谢楼主分享，楼主的排查思路非常清晰，不过，一般后续遇到此类问题，可以优先开启直通测试，可以根据直通日志快速找到对应的拦截策略，对问题排查的效率提升有较大的帮助，期待楼主有更加精彩的分享~

不错不错！！学习了

学习一下

收藏保留

学习一下

学习了！！！

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

您好，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=117259

打卡学习

学习一下。