本文主要給大家詳細(xì)的介紹了對(duì)于合法用戶被防火墻拒之門(mén)外，如何進(jìn)行操作，并且介紹了故障現(xiàn)象和網(wǎng)絡(luò)結(jié)構(gòu)，相信看過(guò)此文會(huì)對(duì)你有所幫助。

網(wǎng)絡(luò)故障現(xiàn)象

這次的客戶是本市社會(huì)保險(xiǎn)局。正月初八全局工作人員上班***天，許多Intranet內(nèi)部有權(quán)用戶打電話反映在查詢(xún)和操作保險(xiǎn)資料時(shí)出現(xiàn)無(wú)法進(jìn)行數(shù)據(jù)調(diào)用和修改的故障現(xiàn)象，此時(shí)屏幕提示登錄者為“非法用戶”;系統(tǒng)管理員同時(shí)還發(fā)現(xiàn)只有從防火墻處可以訪問(wèn)網(wǎng)絡(luò)并修改數(shù)據(jù)。同時(shí)，一個(gè)有趣的現(xiàn)象卻是，Internet外部普通用戶在查詢(xún)各種用戶資料時(shí)卻沒(méi)有問(wèn)題，他們無(wú)論從何處都可以順利地訪問(wèn)Web服務(wù)器。

網(wǎng)絡(luò)結(jié)構(gòu)

該社會(huì)保險(xiǎn)局的網(wǎng)絡(luò)工程是我們承建的，其網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，含業(yè)務(wù)專(zhuān)用網(wǎng)、OA網(wǎng)、Intranet網(wǎng)和Internet網(wǎng)等。業(yè)務(wù)數(shù)據(jù)的安全設(shè)計(jì)為雙Web服務(wù)器，Internet用戶和Intranet用戶各用一個(gè)。Intranet的Web服務(wù)器兼有備份數(shù)據(jù)的功能，兩個(gè)Web服務(wù)器互聯(lián)，之間的業(yè)務(wù)數(shù)據(jù)同時(shí)更新。Internet用戶只能瀏覽、查詢(xún)數(shù)據(jù)并可以進(jìn)行網(wǎng)上申報(bào)等各種服務(wù)，不能更改數(shù)據(jù)。對(duì)Intranet內(nèi)部用戶實(shí)行有權(quán)訪問(wèn)和申報(bào)、數(shù)據(jù)修改特權(quán)限制等體制。局內(nèi)的OA網(wǎng)用戶可以象Internet用戶那樣隨時(shí)訪問(wèn)和查詢(xún)Internet的Web數(shù)據(jù)服務(wù)器，其中設(shè)置了部分有權(quán)用戶，他們可以訪問(wèn)Intranet業(yè)務(wù)網(wǎng)的Web服務(wù)器。安裝的防火墻對(duì)IP包進(jìn)行過(guò)濾，只允許合法IP用戶進(jìn)入。

網(wǎng)絡(luò)故障診斷

顯然，故障現(xiàn)象與防火墻系統(tǒng)有很大關(guān)系。將網(wǎng)絡(luò)測(cè)試儀接入服務(wù)器所在網(wǎng)段，啟動(dòng)網(wǎng)段搜索功能，可以發(fā)現(xiàn)Internet用戶的Web服務(wù)器，但不能發(fā)現(xiàn)Intranet的Web服務(wù)器。去掉防火墻，則可以搜索到該服務(wù)器。說(shuō)明確實(shí)是防火墻的問(wèn)題。但昨天安裝防火墻時(shí)整個(gè)系統(tǒng)是正常的，所以查找故障的焦點(diǎn)要放在安裝防火墻以后有無(wú)更改過(guò)防火墻參數(shù)。此即故障排除經(jīng)驗(yàn)中的所謂“動(dòng)則有過(guò)”故障查找原則。如果能弄清網(wǎng)管人員都動(dòng)過(guò)哪些參數(shù)和設(shè)置，查找故障的工作會(huì)便捷得多。經(jīng)常讓人感到遺憾且奇怪的是，多數(shù)維護(hù)管理人員都不會(huì)承認(rèn)更動(dòng)過(guò)網(wǎng)絡(luò)的任何設(shè)置，這次也同以往一樣。

用網(wǎng)絡(luò)測(cè)試儀連續(xù)作ICMP類(lèi)型PING測(cè)試發(fā)現(xiàn)，Web服務(wù)器是存在的，且反應(yīng)率為***。說(shuō)明Web服務(wù)器在網(wǎng)絡(luò)上且可以正常工作。同時(shí)用網(wǎng)絡(luò)一點(diǎn)通One Touch選擇Web服務(wù)器的IP地址為目標(biāo)地址發(fā)送流量，啟動(dòng)網(wǎng)絡(luò)測(cè)試儀的協(xié)議分析功能，發(fā)現(xiàn)數(shù)據(jù)幀指向防火墻以后就沒(méi)有任何反應(yīng)了：任何回應(yīng)數(shù)據(jù)幀都未出現(xiàn)。將網(wǎng)絡(luò)助理One Touch的IP地址設(shè)置成任何一個(gè)已經(jīng)存在的有權(quán)用戶的IP地址，然后對(duì)Web服務(wù)器發(fā)送流量，這時(shí)網(wǎng)絡(luò)測(cè)試儀可以觀察到防火墻有回應(yīng)數(shù)據(jù)幀出現(xiàn)。這說(shuō)明防火墻對(duì)合法IP地址的有權(quán)用戶是有反應(yīng)的，但一般返回的數(shù)據(jù)幀是非法用戶的提示信息。注意到前述現(xiàn)象中提到過(guò)只有防火墻能訪問(wèn)Web服務(wù)器，我們就將網(wǎng)絡(luò)測(cè)試儀的MAC地址改為與防火墻相同的MAC地址，用網(wǎng)絡(luò)測(cè)試儀假冒防火墻進(jìn)入網(wǎng)絡(luò)，啟動(dòng)網(wǎng)段搜索時(shí)則可以看到久別了的Web服務(wù)器。

以上現(xiàn)象說(shuō)明，該防火墻的功能比較強(qiáng)，除了能過(guò)濾IP地址外，還能對(duì)各站點(diǎn)的MAC地址進(jìn)行過(guò)濾，以防止“擁有合法IP地址的非法用戶”進(jìn)入系統(tǒng)，是一個(gè)比較好的“看門(mén)人”。但讓人疑惑的是昨天安裝防火墻時(shí)，網(wǎng)絡(luò)管理人員只啟動(dòng)了IP包過(guò)濾功能，并未啟動(dòng)MAC地址鑒別功能，那么，MAC地址濾波功能是誰(shuí)啟動(dòng)的呢?答案是：不得而知。查看防火墻幫助文件，按提示按下format下拉列表中的MAC地址過(guò)濾菜單，關(guān)閉MAC地址過(guò)濾功能，系統(tǒng)隨即恢復(fù)正常。

網(wǎng)絡(luò)故障總結(jié)

不少防火墻是靠對(duì)IP地址進(jìn)行過(guò)濾和用戶密碼識(shí)別等方法來(lái)鑒別有權(quán)用戶及其合法性等級(jí)的，一般不對(duì)網(wǎng)卡的MAC地址進(jìn)行識(shí)別。對(duì)于具有固定用戶的Intranet網(wǎng)絡(luò)，具有MAC地址過(guò)濾功能的防火墻是非常有效的，它可以阻止對(duì)網(wǎng)絡(luò)的各種試探性進(jìn)攻。在該網(wǎng)絡(luò)中對(duì)于Internet用戶，這一功能不能啟用，否則會(huì)造成正常用戶的訪問(wèn)被屏蔽。