“当前已有100+用户参与分享,共计发放奖励50000+“
1、问题描述 客户反馈对防火墙进行加固后导致学校WebVPN无法访问
2、处理过程 1)检查端口映射,发现匹配数都正常,公网TELNET端口也能通,说明映射配置没问题
2)通过IP访问试试是否能正常,发现还是异常,同时还发现了通过IP访问会自动跳转到域名
3)检查一下安全日志,是否有出现被拦截了,空白一片,说明没有被拦截
4)查看一下行为日志,是否有IP被封锁等情况导致的,发现居然有被默认的应用控制策略拦截了 拦截原因是教育网访问过来的流量被拦截了,这个做了端口映射也勾选了自动放通应用控制策略还被拦截(说明这里肯定有问题)
5)ping域名解析出来的IP不是做端口映射的IP,通过查询这个解析出来的IP发现是客户教育吗的IP地址
6)查看教育网接口并没有发现这个IP地址,查看端口映射后发现这个IP地址居然是服务器的IP 怀疑客户环境有可能是服务器直接配置了教育网的IP地址,咨询客户也不是很清楚部署情况,只能自己查询自己解决了 如果真的是服务器直接配置了教育网的地址那就说得通被默认应用控制策略拦截了,因为查看策略发现只是做了单项LAN->教育网的放通,所以教育网->LAN没有做允许策略,这样就匹配上了默认策略
7)查看一下自己的公网IP,然后通过对访问的公网IP进行直通,再检查是否能正常访问 开直通后刷新web界面能显示正常了,查看直通日志被应用控制策略拦截了
8)通过禁用端口映射后再直通访问测试,访问正常, 说明是直接通过路由方式实现数据交换,并非NAT环境
9)通过tracert 域名可以看到数据包走向,发现数据包是到了AF教育网接口后再通过路由到达服务器 查看AF的路由发现了服务器所在的路由
3、根因 通过上面的排查发现客户服务器直接配置了教育网的IP地址,通过三层路由实现数据包传输,并非使用端口映射实现的,由于做了加固,把原来的应用控制策略双向(LAN<->教育网)改成了单(LAN->教育网),所以匹配到了默认策略拦截了
4、处理办法 通过应用控制策略新增一条允许(教育网->LAN的策略) 源区域选择教育网区域,源地址和源端口都是全部 目的是服务器所在的区域,目的地址选择网络对象调用服务器的IP地址,服务就选择80和443,对外只需要使用这两个端口,所以我们就放通这两个,不放通其它端口,提高服务器的安全
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-8-19 21:17
发表于 2020-8-10 10:55
技术专家1级 
