不涉及,防火墙出接口做SNAT,对应配置如下:
#
interface Route-Aggregation51.501
ip address 111.X.X.X 255.255.255.224
ip last-hop hold
nat outbound 2100 counting
不涉及
现场反馈内网客户端连接云平台连不上,防火墙出接口配置了easy-ip
#
interface Route-Aggregation51.501
ip address 111.X.X.X 255.255.255.224
ip last-hop hold
nat outbound 2100 counting
对于此类访问不通的问题,常用的思路如下:
1.
2.
3.
4.
5.
6.
通过debug可以看出,回包被ATK模块丢弃。
*Sep 2 11:52:15:186 2023 ChuKou-FW1 IPFW/7/IPFW_INFO: -COntext=1-Slot=2; MBUF was intercepted! Phase Num is 1(pre routing), Service ID is 11(atk), Bitmap is 10404000000000, return 1(0:continue, 1:dropped, 2:consumed, 3:enqueued, 4:relay)! Interface is Route-Aggregation51.501, s= 60.209.95.131, d= 111.57.232.226, protocol= 6, pktid = 0 VsysID = 1.
于是检查设备配置,发现现场配置了扫描攻击防范:
#
attack-defense policy saomiaofanghu
scan detect level user-defined port-scan-threshold 1000 ip-sweep-threshold 1000 action logging block-source timeout 10080
#
对应解释:
scan detect命令用来配置开启指定级别的扫描攻击防范。
undo scan detect命令用来关闭指定级别的扫描攻击防范。
【命令】
scan detect level { { high | low | medium } | user-defined { port-scan-threshold threshold-value | ip-sweep-threshold threshold-value } * [ period period-value ] } action { { block-source [ timeout minutes ] | drop } | logging } *
undo scan detect
【缺省情况】
扫描攻击防范处于关闭状态。
【视图】
攻击防范策略视图
【缺省用户角色】
network-admin
mdc-admin
vsys-admin
【参数】
level:指定攻击防范的检测级别。
high:表示高防范级别,该级别能检测出大部分的扫描攻击,但对活跃主机误报率较高,即将可提供服务的主机的报文错误判断为攻击报文的概率比较高。该级别的扫描攻击检测周期为10秒,针对端口扫描的防范阈值为5000 packets,针对地址扫描的防范阈值为5000 packets。
low:表示低防范级别,该级别提供基本的扫描攻击检测,有很低的误报率,但对于一些扫描攻击类型不能检出。该级别的扫描攻击检测周期为10秒,针对端口扫描的防范阈值为100000 packets,针对地址扫描的防范阈值为100000 packets。
medium:表示中防范级别,该级别有适中的攻击检出率与误报率,通常能够检测出Filtered Scan等攻击。该级别的扫描攻击检测周期为10秒,针对端口扫描的防范阈值为40000 packets,针对地址扫描的防范阈值为40000 packets。
user-defined:表示用户自定义防范规则,用户可根据网络实际情况和需求指定端口扫描、地址扫描的防范阈值和检测周期。
port-scan-threshold threshold-value:指定端口扫描攻击防范的触发阈值。其中,threshold-value为源IP地址每个检测周期内发送的目的端口不同的报文数目,取值范围为1~1000000000。
ip-sweep-threshold threshold-value:指定地址扫描攻击防范的触发阈值。其中,threshold-value为源IP地址每个检测周期内发往不同目的IP地址的报文数目,取值范围为1~1000000000。
period period-value:表示检测周期,period-value的取值范围为1~1000000000,单位为秒,缺省值为10。
action:设置对扫描攻击的处理行为。
block-source:表示阻断并丢弃来自该IP地址的后续报文。具体实现是,当设备检测到攻击发生后,会自动将发起攻击的源IP地址添加到IP黑名单动态表项中,当接口或安全域上的黑名单过滤功能处于开启状态时,来自该IP地址的报文将被丢弃。
timeout minutes:动态添加的黑名单表项的老化时间。其中,minutes表示老化时间,取值范围为1~10080,单位为分钟,缺省值为10。
drop:表示丢弃攻击报文,即设备检测到攻击发生后,由该攻击者发送的报文都将被丢弃。
logging:表示输出告警日志,即设备检测到攻击发生时,生成记录告警信息,生成的告警信息将被发送到日志系统。
根据解释可以得到结论,攻击防范设定的阈值太小,导致云平台回包命中攻击防范策略被阻断。
于是告知现场取消该策略测试,结果客户端测试还是无法连接成功。
这就很奇怪了,于是继续debug,发现报错还是一样。那么这就很尴尬了,攻击防范功能已经取消那就只剩下一种可能了。可能服务器地址被加了黑明单,通过查看果然被加了动态黑名单。
取消动态黑名单后,连接正常。
攻击防范策略取消或者调整阈值,以及取消动态黑名单。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作