本文主要給大家詳細的介紹了對于合法用戶被防火墻拒之門外，如何進行操作，并且介紹了故障現象和網絡結構，相信看過此文會對你有所幫助。

網絡故障現象

這次的客戶是本市社會保險局。正月初八全局工作人員上班***天，許多Intranet內部有權用戶打電話反映在查詢和操作保險資料時出現無法進行數據調用和修改的故障現象，此時屏幕提示登錄者為“非法用戶”;系統管理員同時還發現只有從防火墻處可以訪問網絡并修改數據。同時，一個有趣的現象卻是，Internet外部普通用戶在查詢各種用戶資料時卻沒有問題，他們無論從何處都可以順利地訪問Web服務器。

網絡結構

該社會保險局的網絡工程是我們承建的，其網絡結構比較復雜，含業務專用網、OA網、Intranet網和Internet網等。業務數據的安全設計為雙Web服務器，Internet用戶和Intranet用戶各用一個。Intranet的Web服務器兼有備份數據的功能，兩個Web服務器互聯，之間的業務數據同時更新。Internet用戶只能瀏覽、查詢數據并可以進行網上申報等各種服務，不能更改數據。對Intranet內部用戶實行有權訪問和申報、數據修改特權限制等體制。局內的OA網用戶可以象Internet用戶那樣隨時訪問和查詢Internet的Web數據服務器，其中設置了部分有權用戶，他們可以訪問Intranet業務網的Web服務器。安裝的防火墻對IP包進行過濾，只允許合法IP用戶進入。

網絡故障診斷

顯然，故障現象與防火墻系統有很大關系。將網絡測試儀接入服務器所在網段，啟動網段搜索功能，可以發現Internet用戶的Web服務器，但不能發現Intranet的Web服務器。去掉防火墻，則可以搜索到該服務器。說明確實是防火墻的問題。但昨天安裝防火墻時整個系統是正常的，所以查找故障的焦點要放在安裝防火墻以后有無更改過防火墻參數。此即故障排除經驗中的所謂“動則有過”故障查找原則。如果能弄清網管人員都動過哪些參數和設置，查找故障的工作會便捷得多。經常讓人感到遺憾且奇怪的是，多數維護管理人員都不會承認更動過網絡的任何設置，這次也同以往一樣。

用網絡測試儀連續作ICMP類型PING測試發現，Web服務器是存在的，且反應率為***。說明Web服務器在網絡上且可以正常工作。同時用網絡一點通One Touch選擇Web服務器的IP地址為目標地址發送流量，啟動網絡測試儀的協議分析功能，發現數據幀指向防火墻以后就沒有任何反應了：任何回應數據幀都未出現。將網絡助理One Touch的IP地址設置成任何一個已經存在的有權用戶的IP地址，然后對Web服務器發送流量，這時網絡測試儀可以觀察到防火墻有回應數據幀出現。這說明防火墻對合法IP地址的有權用戶是有反應的，但一般返回的數據幀是非法用戶的提示信息。注意到前述現象中提到過只有防火墻能訪問Web服務器，我們就將網絡測試儀的MAC地址改為與防火墻相同的MAC地址，用網絡測試儀假冒防火墻進入網絡，啟動網段搜索時則可以看到久別了的Web服務器。

以上現象說明，該防火墻的功能比較強，除了能過濾IP地址外，還能對各站點的MAC地址進行過濾，以防止“擁有合法IP地址的非法用戶”進入系統，是一個比較好的“看門人”。但讓人疑惑的是昨天安裝防火墻時，網絡管理人員只啟動了IP包過濾功能，并未啟動MAC地址鑒別功能，那么，MAC地址濾波功能是誰啟動的呢?答案是：不得而知。查看防火墻幫助文件，按提示按下format下拉列表中的MAC地址過濾菜單，關閉MAC地址過濾功能，系統隨即恢復正常。

網絡故障總結

不少防火墻是靠對IP地址進行過濾和用戶密碼識別等方法來鑒別有權用戶及其合法性等級的，一般不對網卡的MAC地址進行識別。對于具有固定用戶的Intranet網絡，具有MAC地址過濾功能的防火墻是非常有效的，它可以阻止對網絡的各種試探性進攻。在該網絡中對于Internet用戶，這一功能不能啟用，否則會造成正常用戶的訪問被屏蔽。