IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 方案分析:合法用戶被防火墻拒之門外

方案分析:合法用戶被防火墻拒之門外

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  案例1:合法用戶被防火墻拒之門外

  故障現(xiàn)象

  這次的客戶是本市社會保險局。正月初八全局工作人員上班第一天,許多Intranet內(nèi)部有權(quán)用戶打電話反映在查詢和操作保險資料時出現(xiàn)無法進行數(shù)據(jù)調(diào)用和修改的故障現(xiàn)象,此時屏幕提示登錄者為"非法用戶";系統(tǒng)管理員同時還發(fā)現(xiàn)只有從防火墻處可以訪問網(wǎng)絡(luò)并修改數(shù)據(jù)。同時,一個有趣的現(xiàn)象卻是,Internet外部普通用戶在查詢各種用戶資料時卻沒有問題,他們無論從何處都可以順利地訪問Web服務(wù)器。

  網(wǎng)絡(luò)結(jié)構(gòu)

  該社會保險局的網(wǎng)絡(luò)工程是我們承建的,其網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,含業(yè)務(wù)專用網(wǎng)、OA網(wǎng)、Intranet網(wǎng)和Internet網(wǎng)等。業(yè)務(wù)數(shù)據(jù)的安全設(shè)計為雙Web服務(wù)器,Internet用戶和Intranet用戶各用一個。Intranet的Web服務(wù)器兼有備份數(shù)據(jù)的功能,兩個Web服務(wù)器互聯(lián),之間的業(yè)務(wù)數(shù)據(jù)同時更新。Internet用戶只能瀏覽、查詢數(shù)據(jù)并可以進行網(wǎng)上申報等各種服務(wù),不能更改數(shù)據(jù)。對Intranet內(nèi)部用戶實行有權(quán)訪問和申報、數(shù)據(jù)修改特權(quán)限制等體制。局內(nèi)的OA網(wǎng)用戶可以象Internet用戶那樣隨時訪問和查詢Internet的Web數(shù)據(jù)服務(wù)器,其中設(shè)置了部分有權(quán)用戶,他們可以訪問Intranet業(yè)務(wù)網(wǎng)的Web服務(wù)器。安裝的防火墻對IP包進行過濾,只允許合法IP用戶進入。

  故障診斷

  顯然,故障現(xiàn)象與防火墻系統(tǒng)有很大關(guān)系。將網(wǎng)絡(luò)測試儀接入服務(wù)器所在網(wǎng)段,啟動網(wǎng)段搜索功能,可以發(fā)現(xiàn)Internet用戶的Web服務(wù)器,但不能發(fā)現(xiàn)Intranet的Web服務(wù)器。去掉防火墻,則可以搜索到該服務(wù)器。說明確實是防火墻的問題。但昨天安裝防火墻時整個系統(tǒng)是正常的,所以查找故障的焦點要放在安裝防火墻以后有無更改過防火墻參數(shù)。此即故障排除經(jīng)驗中的所謂"動則有過"故障查找原則。如果能弄清網(wǎng)管人員都動過哪些參數(shù)和設(shè)置,查找故障的工作會便捷得多。經(jīng)常讓人感到遺憾且奇怪的是,多數(shù)維護管理人員都不會承認(rèn)更動過網(wǎng)絡(luò)的任何設(shè)置,這次也同以往一樣。

  用網(wǎng)絡(luò)測試儀連續(xù)作ICMP類型PING測試發(fā)現(xiàn),Web服務(wù)器是存在的,且反應(yīng)率為百分之百。說明Web服務(wù)器在網(wǎng)絡(luò)上且可以正常工作。同時用網(wǎng)絡(luò)一點通One Touch選擇Web服務(wù)器的IP地址為目標(biāo)地址發(fā)送流量,啟動網(wǎng)絡(luò)測試儀的協(xié)議分析功能,發(fā)現(xiàn)數(shù)據(jù)幀指向防火墻以后就沒有任何反應(yīng)了:任何回應(yīng)數(shù)據(jù)幀都未出現(xiàn)。將網(wǎng)絡(luò)助理One Touch的IP地址設(shè)置成任何一個已經(jīng)存在的有權(quán)用戶的IP地址,然后對Web服務(wù)器發(fā)送流量,這時網(wǎng)絡(luò)測試儀可以觀察到防火墻有回應(yīng)數(shù)據(jù)幀出現(xiàn)。這說明防火墻對合法IP地址的有權(quán)用戶是有反應(yīng)的,但一般返回的數(shù)據(jù)幀是非法用戶的提示信息。注意到前述現(xiàn)象中提到過只有防火墻能訪問Web服務(wù)器,我們就將網(wǎng)絡(luò)測試儀的MAC地址改為與防火墻相同的MAC地址,用網(wǎng)絡(luò)測試儀假冒防火墻進入網(wǎng)絡(luò),啟動網(wǎng)段搜索時則可以看到久別了的Web服務(wù)器。

  以上現(xiàn)象說明,該防火墻的功能比較強,除了能過濾IP地址外,還能對各站點的MAC地址進行過濾,以防止"擁有合法IP地址的非法用戶"進入系統(tǒng),是一個比較好的"看門人"。但讓人疑惑的是昨天安裝防火墻時,網(wǎng)絡(luò)管理人員只啟動了IP包過濾功能,并未啟動MAC地址鑒別功能,那么,MAC地址濾波功能是誰啟動的呢?答案是:不得而知。查看防火墻幫助文件,按提示按下format下拉列表中的MAC地址過濾菜單,關(guān)閉MAC地址過濾功能,系統(tǒng)隨即恢復(fù)正常。

  故障總結(jié)

  不少防火墻是靠對IP地址進行過濾和用戶密碼識別等方法來鑒別有權(quán)用戶及其合法性等級的,一般不對網(wǎng)卡的MAC地址進行識別。對于具有固定用戶的Intranet網(wǎng)絡(luò),具有MAC地址過濾功能的防火墻是非常有效的,它可以阻止對網(wǎng)絡(luò)的各種試探性進攻。在該網(wǎng)絡(luò)中對于Internet用戶,這一功能不能啟用,否則會造成正常用戶的訪問被屏蔽。

關(guān)鍵詞標(biāo)簽:防火墻

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量