防火墙有什么办法 ping 还在 http 监控外网,如果 ping 不通就关闭对应的端口吗
- 0关注
- 0收藏,67浏览
1. 配置NQA探测实例:
nqa test-instance 1 1
test-type icmp // 若探测HTTPS则改为http,指定url和端口
destination-address ipv4 外网目标IP
frequency 3 // 探测间隔(秒)
probe-count 2 // 探测失败次数阈值
2. 配置安全策略关联NQA:
在对应端口的安全规则中,添加nqa-trigger 1 1,当NQA探测外网不通时,该安全规则自动失效,对应端口访问权限被关闭。
是物理 shutdown 吗
是物理 shutdown 吗
防火墙外网探测:Ping/HTTPS 探测异常自动关闭端口方案
需求总结
一、主流实现方式(华三 / 华为 / 深信服 / 山石防火墙通用)
方式 1:ICMP Ping 链路质量检测(最简单通用)
方式 2:HTTP/HTTPS 七层探测(更精准,适合禁 ping 外网场景)
方式 3:联动策略路由 + 接口管理,探测失败自动禁用外网接口
二、核心原理
- 防火墙定时向外网公网 IP / 域名发包探测
- 连续多次探测失败 → 判定外网断网
- 触发联动动作:shutdown 外网物理接口 / 聚合口
- 链路恢复探测正常后,自动重新启用端口
三、H3C 防火墙 完整配置(直接复制可用)
1. 创建链路探测组
# 1. 配置ICMP ping探测
nqa entry admin test1
type icmp-echo
destination ip 223.5.5.5 # 阿里DNS稳定公网地址
frequency 1000 # 探测间隔1秒
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-only
# 连续3次不通判定故障
# 2. 配置HTTPS七层探测(禁ping环境用)
nqa entry admin test2
type http
url https://www.baidu.com
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-only
2. 绑定跟踪对象(关键)
track nqa entry admin test1
3. 探测失败 自动关闭外网出接口
# 进入外网接口
interface GigabitEthernet 0/0
track nqa admin test1 shutdown
四、华为防火墙 USG 实现
# 配置ICMP探测
nqa entry admin ping-wan
type icmp-echo
destination ip 114.114.114.114
interval 1
# 跟踪
track nqa admin ping-wan
# 接口绑定故障自动关闭
interface Gigabit 0/0/1
track nqa admin ping-wan interface-down
五、深信服防火墙 图形化操作
- 策略 → 链路质量检测
- 新增探测:选择 PING / HTTP/HTTPS
- 填写探测地址:
223.5.5.5或https://www.baidu.com - 设置失败次数:3 次超时判定断网
- 联动动作:故障自动禁用该外网接口
- 开启自动恢复,线路通了自动启端口
六、优化要点(避免误判)
- 探测地址选稳定公网地址
- Ping:223.5.5.5、114.114.114.114
- HTTPS:百度、阿里云官网
- 探测间隔 1 秒,连续3 次失败再触发关闭,防瞬时抖动
- 不要探测运营商内网地址,必须公网地址
- 多线环境:每条外网口单独绑定独立探测模板
七、拓展:只关业务端口 不关物理口
- 探测失败调用安全策略
- 自动禁用外网出站策略
- 链路恢复自动放行流量
八、区别对比
| 探测方式 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
| PING ICMP | 配置最简单、占用资源低 | 部分外网禁 ping 误判 | 家用 / 普通专线 |
| HTTPS 探测 | 七层真实上网体验最准 | 防火墙性能消耗略高 | 直播、政企专线、禁 ping 线 |
可以实现,主要通过防火墙内置的链路健康检测功能,并联动路由或安全策略来实现。
目前主要有两种技术路线,我为你梳理了它们的区别:
| 方案类型 | 实现原理 | 典型应用场景 |
|---|---|---|
| 关联策略路由 | 检测到链路故障后,自动将该链路的流量切换到备用链路(如从WAN1切换到WAN2),保证业务不中断。 | 多线路负载均衡场景,要求网络高可用。 |
| 关联安全策略 | 检测到链路故障后,直接禁用或移除对应的安全策略规则,切断该链路的访问权限。 | 强调访问控制的场景(如“人回家后自动切断远程办公端口”的逻辑)。 |
下面分别介绍具体方案。
方案一:联动策略路由 (自动切换/关闭)
这是标准的实现方式,绝大部分主流防火墙都支持。
技术核心:NQA
大多数企业级防火墙(如华为、H3C等)都支持网络质量分析(NQA)技术。它就像一个持续的探测工具,可以不断检测目标IP或域名的连通性。它不仅支持Ping检测,也支持HTTP/HTTPS等更高级的探测配置逻辑
核心思路是NQA探测->跟踪项->策略路由/安全策略的联动。创建NQA测试实例:明确探测的目标(如一个可靠的外网IP)、探测方式(ICMP或HTTP)和频率(如每5秒一次)。
将策略与NQA关联:在对应的策略路由或安全策略中,引用这个NQA实例。当NQA探测失败达到阈值时,该策略会自动失效。
方案二:关联安全策略 (直接关闭端口)
如果不需要切换链路,只是想在外网不通时直接关闭本地的某个端口服务,可以使用这个思路。
实现方式
这个逻辑相对简单,主要是通过脚本实现:你可以写一个脚本,定时(比如每分钟)去ping一个外网IP。
脚本会根据ping的结果,自动执行
iptables命令来增加或删除放行特定端口的防火墙规则-。例如,当外网不通时,执行iptables -A INPUT -p tcp --dport 8080 -j DROP来关闭端口。
主流防火墙配置参考
H3C / 华为:在Web界面的 “策略” > “策略路由” 或 “网络管理” > “NQA” 中,创建NQA探测实例,并在策略路由中引用。华为防火墙也支持此功能,通常称为“策略联动”。
深信服 (SANGFOR) AF:在 网络配置 > 健康检查 中定义检查规则,然后在 策略路由 中引用-19。
pfSense / OPNsense:在 系统 > 路由设置 > 网关 中,为网关配置一个 监控IP。
MikroTik RouterOS:使用
/tool netwatch工具,配合脚本在探测失败时动态添加防火墙规则。
常见问题与最佳实践
避免误判:不要只依赖单一的外网IP做检测。如果该IP刚好故障,会导致误判。建议检测多个可靠的、不受干扰的IP(如运营商网关、公网DNS
8.8.8.8/114.114.114.114)。配置延迟恢复:可以配置探测失败几次后才判定为故障,避免网络瞬时抖动导致端口频繁开关。例如,配置连续3次探测失败才触发动作。
HTTPS探测补充:优先用HTTPS探测核心业务URL,它能更准确地反映真实业务体验。如果对方禁止Ping,就用HTTP/HTTPS探测
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
有案例吗