本帖最后由 adds 于 2022-12-2 21:01 编辑
1、问题 应用发布服务器(192.168.100.11)访问不到科创出口防火墙(192.168.201.254)。
2、排查 2.1 现象 11无法ping通254,但254可以ping通11。 11->254 254->11 2.2 网络环境 应用发布服务器部署在北京大兴机房,需要访问的服务器位于北京通州机房。 11在大兴,254在通州,两者通过各自在核心交换机上旁接一台VPN设备组建了IPSec VPN网络。 网络拓扑如下: 2.3 修改11服务器的网关为本端VPN的地址。 一开始11服务器的网关指向的是192.168.100.254,担心防火墙的收发数据包有问题,直接将网关指向了本端的VPN地址。 2.4 逐个节点排查 1)11到网关通信正常 2)11到对端VPN设备通信正常 对端VPN设备的IP为192.168.201.1,防火墙为192.168.201.254。 3)11到防毒墙通信正常。防毒墙下连防火墙的LAN口,网桥部署,带外管理口IP为192.168.201.2。 2.5 防毒墙(通州)排查 开白名单;开直通,未抓到11去往254的数据包; 2.6 通州VPN排查 在vpntun口抓包,能抓到源是11目的是254的包。 在eth0口抓包,能抓到源是11目的是254的包,但抓不到源是254目的是11的包。 11->254 254->11 2.7 通州防火墙排查 在eth3口抓包。 能抓到源是11目的是254的包,但抓不到源是254目的是11的包。 11->254 254->11 查看路由: 路由测试: 开直通: 原因:防火墙开启了内网访问控制。 将192.168.100.11加入内网组里即可。
3、其他 3.1 风险处置与安全建设方案 资产收集、风险识别、风险估计、风险评估、风险处置、风险接受 3.2 风险评估的目的 为了推动安全建设体系的完善,是一种让客户内部驱动安全建设的一种手段,风评的核心精髓更多的要拉着客户一同参与。 |