NAT映射規(guī)則訪問不通排查思路

大多數(shù)場景下防火墻都被部署于網(wǎng)絡(luò)出口，承當(dāng)著Internet和Intranet的邊界，其訪問控制和NAT功能便成了實(shí)施防火墻最主要的需求。當(dāng)用戶網(wǎng)絡(luò)內(nèi)部有服務(wù)器需要對外提供服務(wù)時，就需要在防火墻上配置附1策略。NAT在實(shí)際應(yīng)用中基本上分為三種：1、源地址轉(zhuǎn)換：用于內(nèi)到外，提供內(nèi)網(wǎng)終端訪問互聯(lián)網(wǎng)的功能；2、目的端口映射：用于外到內(nèi)，提供外網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器部分端口的功能；3、IP地址映射：用于外到內(nèi)，提供外網(wǎng)訪問內(nèi)網(wǎng)服務(wù)器的所有流量功能；功能點(diǎn)2和3是常用的用來對內(nèi)部服務(wù)器的映射，相信僅僅是配置方面都會讓大家感覺不到什么難度，那么就著重來看一下當(dāng)遇到映射不通時該如何去排查。映射訪問不通一般分為三種情況，一是在外網(wǎng)訪問映射不通，二是從內(nèi)網(wǎng)訪問映射不通，三是內(nèi)外網(wǎng)都無法訪問映射。在排查問題之前一定要先分別在內(nèi)外和外網(wǎng)去測試是否可以正常訪問，下面就內(nèi)網(wǎng)訪問不同或者外網(wǎng)訪問不同的情況做了簡要分析。拿下面這個很常見的拓?fù)鋪碚f:10.111*10.111*201.1.1t201.1.200?在該拓?fù)湎?，需求是將公網(wǎng)IP100.1.1.做80端口映射到內(nèi)網(wǎng)服務(wù)器0（的80上，使內(nèi)網(wǎng)和外網(wǎng)終端都可以通過訪問100.1.1.來映射到0的80端口。標(biāo)準(zhǔn)配置如下:允許的安全策略：原業(yè)讓日土.也讓出三動作允許由可眈器30.1,1,200允許在排查問題過程中，不要在安全策略中引用IPS人丫、上網(wǎng)行為管理等模塊，盡量縮小排錯范圍。端口映射規(guī)則：NAT策略抗攻擊防護(hù)凝「SN/KT序世匚映射「I網(wǎng)!射□7規(guī)則占京地址:凌世址聘月為￡■開地址內(nèi)部地址內(nèi)音邨務(wù)用又同口pnatlffiSr101.1.100hHphHpany其中，端口映射里的“源地址轉(zhuǎn)化為”配置成10.1.1.，1是為了在上圖環(huán)境中避免服務(wù)器回包直接通過三層交換機(jī)回給客戶端的問題。該項(xiàng)配置是為了適用網(wǎng)絡(luò)環(huán)境做出的更改，不屬于防火墻缺陷。一、在內(nèi)網(wǎng)和外網(wǎng)都無法訪問映射1、確認(rèn)防火墻和服務(wù)器的連通性：可以通過川￡8界面的狀態(tài)監(jiān)控一狀態(tài)信息一網(wǎng)絡(luò)測試中的pingH具和portscan工具來探測服務(wù)器和防火墻之間的訪問情況。其中需要說明一下portscan的測試結(jié)果的查看，是看STATE欄的值，如果是OPEN就標(biāo)識端口可達(dá)：網(wǎng)絡(luò)測試RA測試結(jié)果工具名稱甲口代二匚日n^S!123,151.1.4S.111!SOFortscanreportzor123.151.143,111floatisup40_00753latency).PORT STATE SERVICE50ft httpSOfudpopenIfilteredhttp想要通過防火墻做映射去訪問服務(wù)器，防火墻和服務(wù)器之間可以互聯(lián)互通是前提，并且必須要保證到具體業(yè)務(wù)端口的可達(dá)性。如果發(fā)現(xiàn)連ping測試的結(jié)果都是不通的，那就需要先排查：防火墻是否有去往服務(wù)器的路由;服務(wù)是否有配置網(wǎng)關(guān)；中間設(shè)備是否有路由；中間的安全設(shè)備是否允許防火墻訪問服務(wù)器；也可能是服務(wù)器自身禁ping;以上這幾點(diǎn)都是需要和網(wǎng)絡(luò)管理員去做確認(rèn)的。在確認(rèn)防火墻已經(jīng)可以ping通服務(wù)器以后，再嘗試通過portscar功能探測到服務(wù)器端口的可達(dá)性，如若探測的STATE是filter表明無法連通端口，可以按照下面思路去排查：中間的安全設(shè)備是否允許防火墻訪問服務(wù)器端口；服務(wù)器的服務(wù)進(jìn)程是否正常啟動；服務(wù)器應(yīng)用軟件是否限制了防火墻的訪問（訪問IP限制）；是否有來回路徑不一致情況，即請求報文和回應(yīng)報應(yīng)的路徑不一致。2、配置方面的錯誤導(dǎo)致未配置“源地址轉(zhuǎn)換為”選項(xiàng)。在上圖環(huán)境中，內(nèi)網(wǎng)普通終端和服務(wù)器的網(wǎng)關(guān)都在核心交換機(jī)上，它們的真實(shí)地址之間是可以相互直接訪問的。這種拓?fù)湎乱欢ㄒ渲枚丝谟成渲械摹霸吹刂忿D(zhuǎn)換為“選項(xiàng)。規(guī)則規(guī)則引用的地址錯誤。需要把規(guī)則引用的地址對象每個都點(diǎn)進(jìn)去看一遍，檢查其地址是否是你指定的地址，防止手誤導(dǎo)致配置錯誤。規(guī)則的位置靠后導(dǎo)致未命中。嘗試把配置的安全策略和映射規(guī)則移動到第一條位置，然后再嘗試訪問。為了排除會話影響，建議更換一個剛才未訪問過的客戶端去測試，或者等幾分鐘以后再重新測試訪問。二、在內(nèi)網(wǎng)訪問映射正常，在外網(wǎng)無法訪問1、運(yùn)營商禁止。如果映射的業(yè)務(wù)端口是80、8080、443這類知名度很高的端口，那就得考慮用戶購買公網(wǎng)IP的時候是否要求開通了這些端口，如果未開通則無法通過這些端口訪問。排除這個問題很簡單，只需要把映射所需的端口改成未知名端口測試，比如把原先的80端口改成8888或者9999,然后在外網(wǎng)通過更改后的端口測試訪問。2、端口映射的公開地址未配置到別名接口上。較新的版本中端口映射的公開地址已經(jīng)可以直接引用地址對象，但如果想要引用地址對象的端口映射正常工作是有前提的，前提就是：公開地址對象不能和防火墻自身的物理網(wǎng)口在同一個網(wǎng)段、不能和防火墻的下一跳在一

個網(wǎng)段、防火墻的下一跳必須有去往這個公網(wǎng)地址的路由且指到防火墻。如果前面幾項(xiàng)不滿足或者不確定，建議在做割接前的配置時把公開地址全部配置到別名，在排查問題時可以可以優(yōu)先把映射的公開地址配置到出口的別名上。3、端口映射的公開地址別名未啟用“別名通告”。在早期的版本上新建別名默認(rèn)不啟用“別名通告”選項(xiàng)，該選項(xiàng)的作用是周期性的廣播自己的arp讓直連設(shè)備學(xué)習(xí)?？梢跃庉媱e名接口--高級選項(xiàng)一啟用別名通告IP勾選。4、多公網(wǎng)出口導(dǎo)致來回路徑檢測失敗。很多情況下用戶都會購置多運(yùn)營商多個出口做負(fù)載或備份，針對其中一個出口的公網(wǎng)地址做映射，則在以下情況下可能會出現(xiàn)問題：A出口的地址做映射，A出口默認(rèn)路由優(yōu)先級為2,8出口的默認(rèn)路由優(yōu)先級為1，啟用了應(yīng)用防護(hù)一抗拒絕服務(wù)一抗攻擊策略--其他配置中的“抗地址欺騙攻擊”（老版本上位于防火墻一安全選項(xiàng)中的“抗地址欺騙攻擊”）或者勾選了接口配置的高級選項(xiàng)中的開啟抗ARP攻擊/開啟檢測網(wǎng)內(nèi)IP地址）中突。這種情況下從公網(wǎng)訪問A口的地址映射則會無法訪問。北1T?占用射則會無法訪問。北1T?占用卉中年這是防火墻自身的安全機(jī)制，為了防止源地址欺騙攻擊。需要做的是關(guān)閉“抗地址欺騙攻擊”和接口的那兩個配置項(xiàng);或者將A口的默認(rèn)路由的優(yōu)先級也改成和B口的優(yōu)先級一致。路由的優(yōu)先級值小代表優(yōu)先級別高，同一個目的的多條路由優(yōu)先級值大的表備份。A出口的地址做映射，A口和B□的默認(rèn)路由優(yōu)先級都為1，但未勾選了靜態(tài)路由配置頁面的“啟用基于狀態(tài)回包功能”。在公網(wǎng)訪問A口映射時可能會出現(xiàn)A口進(jìn)來B口回去的問題，即無法對反向回包基于狀態(tài)。需要做的就是重新勾選這個選項(xiàng)即可。

?系統(tǒng)管理?網(wǎng)絡(luò)管理?系統(tǒng)管理?網(wǎng)絡(luò)管理▼路由管理基本路由ISP5&B策略路由靜態(tài)路由r目的地址糜碼ri192.168.2.O/255,255.255.Or/r/55I必啟用基于狀京目包功能［即時生效）I5、內(nèi)網(wǎng)路由影響。在某些情況下服務(wù)器或者服務(wù)器測網(wǎng)絡(luò)設(shè)備有回指到內(nèi)網(wǎng)的路由,所以在內(nèi)網(wǎng)可以訪問，但是沒有配置上公網(wǎng)的默認(rèn)路由，導(dǎo)致從公網(wǎng)過來的訪問無法回應(yīng)。這種情況下就需要檢查其他網(wǎng)絡(luò)設(shè)備的路由來處理問題。三、在外網(wǎng)訪問映射正常，在內(nèi)網(wǎng)無法訪問1、未配置“源地址轉(zhuǎn)換為“選項(xiàng)導(dǎo)致。類似于上面的拓?fù)渲忻枋龅哪菢?，?nèi)網(wǎng)終端和服務(wù)器的網(wǎng)關(guān)在三層交換機(jī)上，他們之間訪問不通過防火墻的情況，都必須要配置端口映射規(guī)則中的“源地址轉(zhuǎn)換為“，一般都是配置成防火墻內(nèi)網(wǎng)接口的IP地址。2、策略路由影響。如果設(shè)備有多個運(yùn)營商出口，用戶可能會需要配置策略路由來指定內(nèi)網(wǎng)網(wǎng)段走不同的線路訪問互聯(lián)網(wǎng)。當(dāng)內(nèi)網(wǎng)A網(wǎng)段被策略路由指向了1出口，那么內(nèi)網(wǎng)A網(wǎng)段訪問2出口的端口映