某局点F1000系列防火墙突然业务中断无法中断问题处理经验案例

用户使用我司F1000-AK系列产品做为网络出口设备，提供安全策略防护和NAT地址转换基本功能。

不涉及

在使用过程中偶尔出现全网中断。首先怀疑是出口问题，同时发现在网内网无法登录防火墙设备。经过定位，初步判断为出口防火墙问题。在故障恢复时收集了设备诊断信息和相应的logfile和diagfile信息。

分析设备诊断信息发现，设备运行时长仅为1小时32分钟，根据此信息可以判断，设备发生过重启。

H3C Comware Software, Version 7.1.064, Release 9360P32

Copyright (c) 2004-2023 New H3C Technologies Co., Ltd. All rights reserved.

H3C SecPath F1000-AK135 uptime is 0 weeks, 0 days, 1 hour, 32 minutes

Last reboot reason: Memory exhaust reboot

根据诊断信息中上次重启原因为内存耗尽重启，同时和客户确认并未有人工对设备进行重启了断电操作。

进一步分析设备日志，重点对网络故障和设备重启时间段分析，设备日志中有剩余内存200多MB的提示，根据此信息可以判断为设备内存不足导致设备异常，进一步分析设备内存占用过高的情况。

%@223242^Dec 30 12:48:29:397 2023 Firewall_H3C DIAG/5/MEM_ALERT:

system memory info:

             total       used       free     shared    buffers     cached

Mem:       4027996    3763388     264608          0         84     393064

-/+ buffers/cache:    3370240     657756

Swap:            0          0          0

通过memory usage info信息发现会话内存占用较多。通过display session statistics history-max可查看到历史会话数量已经达到设备规格。

通过抓包确认有攻击导致会话过多，排除攻击源问题解决