實戰案例：經過防火牆後，公司部分電腦無法存取某個指定站點？這該如何處理呢？

本期分享的案例是防火牆的相關問題。

背景介紹
客戶公司是一家做電商的企業，近期突然發現有幾台電腦無法存取某個指定的服務網站，能正常解析該網站域名並且也能ping通，但就是打不開Web，提示「已重置連線」：

有部分電腦是正常的沒這個問題，下面我們來看看如何檢查。

處理思路
確認整體網路拓撲，異常的電腦和正常的電腦有哪些不同，是否不同VLAN等；
將異常電腦連接到不同的節點測試，看看是經過了核心、防火牆哪台設備才有問題。
排障分析
第一步：確認網路拓撲和異常電腦的位置

企業單位拓樸是典型的三層網路架構：路由—防火牆—核心—各個匯聚，經確認異常電腦和正常電腦所在的區域是一致的，都是辦公室VLAN，網段相同：


第二步：確認出現問題的節點

透過將異常電腦連接到不同的節點測試發現，電腦接在防火牆下方才有問題，而直連路由器是正常的。撤掉防火牆，異常電腦訪問該服務站點也正常：



基本確認：

是防火牆對上網流量進行了攔截，此時再回頭分析之前的診斷，DNS域名解析和Ping都是正常的，但是訪問時連接被“重置”了，說明是http/https的TCP流被阻斷。這裡抓個包，透過TTL值也可以進一步判斷RST封包是中間連結發出的而不是伺服器發出來的：


從圖中可以看到，RST包TTL=64，而三次握手成功的ACK TTL=50，說明這兩個回包不是同一個源發的，RST只能是中間鏈路上的防火牆發出來的。下一步直接到防火牆確認對應的日誌資訊。

第三步：確認防火牆的警報日誌

登入防火牆後查看警告訊息，發現有資料流被入侵偵測攔截了，正好對應的是異常電腦192.168.0.70存取服務站點的資料流：



與廠商核實屬於IPS入侵檢測誤限，因此需要根據威脅ID，在IPS模組做個“例外放行”，等後續更新病毒庫和策略庫升級後解決問題：


解決方案
例外放行後，可以看到IPS模組還是會偵測到異常，但是動作執行「放行」：



此時異常電腦就能正常開啟對應的站點了：