【天逸出品】【第二十期】防火墙的冷知识

开始之前，先吐槽一波  新架构的防火墙

那个命令控制台是什么鬼

登录使用需要登录

需要登录就算了，输入还延时，打快了字母就颠倒

重点是 有些命令竟然不支持了，比如使用频率极高的 测试端口

以后客户再问，能不能试试防火墙上到业务端口通不通的时候，我只能打电话找专家进后台了

言归正传

冷知识 一

新版本防火墙 可以调整各种路由的优先级了

之前版本的策略路由和静态路由的优先级是   静态路由>策略路由

新版本之后默认情况下改成了   静态路由<策略路由

在链路负载情况下，用策略路由 作为去外网的路由

静态路由作为内网回包路由

这样属于一个常规的配置方法，用户上网什么的都没什么问题

但是

如果你内网情况需要用到双向地址转换，在这种路由部署下，就会出现问题

做双向地址转换的时候，原本源地址应该转换为防火墙内网口地址， 由于策略路由的优先级高，源地址会转换成外网口地址

解决办法：

还是调整静态优先级高，转换什么的就正常啦

冷知识 二

悄悄告诉你们：防火墙可以基于域名做应用控制策略

无情水友：废话啦，这个大家早就都知道

但是在老版本有这样一个现象

数据包去访问域名这个请求到达防火墙时候，防火墙要去解析这个域名对应的IP地址，然后做策略匹配，放行策略匹配到了以后在放行数据包

问题来了，在防火墙自己解析到这个域名地址之前，数据包是通过不过去的，第一个数据包往往会丢包

这个对于访问网页来说，感觉不出来，但是有一些敏感的场景，比如支付系统

第一个包丢包以后，支付就会提示失败，用户体验很差

怎么解决呢

防火墙有这样一个功能：

在你配置了域名的应用控制策略以后，这里会多一个主动域名探测

这样防火墙就会一直去解析这个域名地址，也就不会拦截第一个数据包啦

但是这个配置在新版本没有找到，目前还没验证新版本的防火墙 配置域名的应用控制策略以后会不会因为防火墙解析问题拦截首个数据包

等我验证有结果后，如果有拦截现象，还不能修改的话，下次再继续无情吐槽

感谢楼主分享！文章对解决新架构AF的双向地址转换问题很有帮助，楼主也可以学习bbs中的故障笔记簿，其中里面就有新架构AF双向地址不生效问题如何排障：https://bbs.sangfor.com.cn/plugi ... l&note_id=34955，里面有包含楼主分享的调整路由优先级办法还有更多的其他坑点，其中也介绍了show seesion排障命令的使用，可以帮助大家更好的排障新架构网络问题；
楼主吐槽的命令卡慢，命令行不支持telnet等问题，产品侧都已收入了，预计在10月底会推出质量版本优化这些问题，敬请期待~
在多一句嘴，新架构的主动查询功能已做成默认开启，也就是只要在网络对象中配置域名，即可默认对这个域名做主动查询，避免忘记开启这个功能引起的功能偶尔不生效问题
期待楼主后续带来更多有价值的技术分析和吐槽

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

这个基于域名的查询方式，主动域名探测，是不用输入域名，后台一直不停检测吗？

每天学习一点，每天进步一点。

学到了学到了

每天学习一点，每天进步一点。