本期分享的案例是防火墻的相關問題。

背景介紹

客戶公司是一家做電商的企業，近期突然發現有幾臺電腦無法訪問某個指定的服務網站，能正常解析該網站域名并且也能ping通，但就是打不開Web，提示“已重置連接”：

有部分電腦是正常的沒這個問題，下面我們來看看如何排查。

處理思路

• 確認整體網絡拓撲，異常的電腦和正常的電腦有哪些不同，是否不同VLAN等；
• 將異常電腦接入不同的節點測試，看看是經過了核心、防火墻哪臺設備才有問題。

排障分析

第一步：確認網絡拓撲和異常電腦的位置

企業單位拓撲是典型的三層網絡架構：路由—防火墻—核心—各個匯聚，經確認異常電腦和正常電腦所在的區域是一致的，都是辦公VLAN，網段相同：

第二步：確認出現問題的節點

通過將異常電腦接入不同的節點測試發現，電腦接在防火墻下面才有問題，而直連路由器是正常的。撤掉防火墻，異常電腦訪問該服務站點也正常：

基本確認：

是防火墻對上網流量進行了攔截，此時再回頭分析之前的診斷，DNS域名解析和Ping都是正常的，但是訪問時連接被“重置”了，說明是http/https的TCP流被阻斷。這里抓個包，通過TTL值也可以進一步判斷RST報文是中間鏈路發出的而不是服務器發出來的：

從圖中可以看到，RST包TTL=64，而三次握手成功的ACK TTL=50，說明這兩個回包不是同一個源發的，RST只能是中間鏈路上的防火墻發出來的。下一步直接到防火墻中確認對應的日志信息。

第三步：確認防火墻的告警日志

登錄防火墻后查看告警信息，發現有數據流被入侵檢測攔截了，正好對應的是異常電腦192.168.0.70訪問服務站點的數據流：

與廠家核實屬于IPS入侵檢測誤限，因此需要根據威脅ID，在IPS模塊做個“例外放行”，等后續更新病毒庫和策略庫升級后解決問題：

解決方案

例外放行后，可以看到IPS模塊還是會檢測到異常，但是動作執行“放行”：

此時異常電腦就能正常打開對應的站點了：