DMZ区域防火墙替换引发的外联失败

最新推荐文章于 2024-06-19 15:11:21 发布
最新推荐文章于 2024-06-19 15:11:21 发布
阅读量179 收藏 5
点赞数 2
文章标签: 服务器 linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boc007/article/details/134660196
版权

文章目录

异常告警

周一早上6:00收到应用告警如下,提示位于DMZ外联区的前置机连接外联单位域名失败。联系对端外单位,告知对端服务正常。本单位业务7:00将使用,需要紧急处理,否则会引发业务连续性中断。

Connection to xxx.trading.refinitive.net/26.120.xx.xx:16003: Connection timed out.

定位排查

1、验证连通性

     ping 域名,返回26.120.xx.xx的地址
     telnet 26.120.xx.xx  16003 发现无法连接,与告警提示相符。

2、联动变更

周五系统连接还正常,且周末应用和系统都无变更,只有周末外联区防火墙发生了替换,可能与防火墙替换有关。请网络团队同事排查,
发现出口防火墙上并没有26.120.xx.xx 这样一个映射地址,怀疑域名解析地址有误。请系统同事排查域名解析地址26.120.xx.xx是如何获得的,排查方向明确。

3、测试域名解析

- ping域名
- nslookup 域名

发现ping返回了26.120.xx.xx地址,但nslookup做域名解析却提示域名无法找到。
至此,怀疑并没有做真正的域名解析,可能是做了域名和IP绑定
nslookup结果

  • 查看域名服务器配置
  cat /etc/resolv.conf

域名服务器

  • 查看/etc/hosts
  cat /etc/hosts

发现果然/etc/hosts中绑定了域名地址为26.120.xx.xx,所以并不会访问域名服务器做域名解析。

  • 为什么域名对应的26.120.xx.xx发生了变化呢?
    据网络同事解释,防火墙替换后,外部地址在过墙后映射到dmz区的地址会发生变化,所以此时再绑定原地址,会发生网络连接不同。
  • 为什么使用nslookup做域名解析失败呢?
    /etc/resolv.conf中配置了5个DNS Server,其中第一个和第三个server是内部DNS server,第二、四、五是外部域名解析服务器。域名解析时按顺序使用第一个DNS server 内部解析,没有解析成功。

异常解决

至此,原因已找到。解决方法如下:

  • 指定使用第二个外部域名服务器解析域名
nslookup 
server 第三个域名服务地址
输入 xx.trading.refinitiv.net

这样获得了正确的外部域名对应地址映射到内网的地址26.120.81.xx

  • 绑定域名和最新的IP地址
vi  /etc/hosts
26.120.81.xxx     xx.trading.refinitiv.net

telnet 地址 端口验证网络联通性正常,问题解决。

反思总结

  1. 外联防火墙替换可能引起映射地址发生改变。
  2. 避免绑定域名和地址,尽量使用域名解析。
  3. 域名服务器的配置。
    • 在查询时就按nameserver在本文件中的顺序进行,且只有当第一个nameserver没有反应时才查询下面的nameserver。
    • 第一个行内dns server没有这个域名列表,但返回没有超时,不会去尝试第二个server。
boc007
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息安全工程师第二版考试总结+笔记
11-29 1万+
信息安全工程师第二版考试总结+笔记
飞塔防火墙DMZ配置
10-17
飞塔防火墙DMZ配置,让你远离病毒和攻击
通过等保2.0分析系统脆弱性:安全区域边界篇与安全计算环境篇
tigerman20201的博客
11-07 1653
安全区域边界篇 安全区域边界在近几年变得越来越精细越来越模糊,因为攻击的形式、病毒传播的途径层出不穷,我以攻击者的角度去看,任何一个漏洞都可以成为勒索病毒传播和利用的方式,我们要做到全面补丁压力重重,通过边界划分,依靠不同的边界安全防护,在发生问题的情况下将损失降到最低。 1、边界防护 a) 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;b) 应能够对非授权设备私自联到内部网络的行为进行检查或限制;c) 应能够对内部用户非授权联到外部网络的行为进行检查或限制;d) 应限制无线网络的使
11、安全网络架构和保护网络组件
woniuzaixingzou的博客
04-15 1024
TCP/IP 几乎支持所有操作系统,但会消耗大量系统资源并且相对容易被入侵,因为它的 设计初衷是易用性而不是安全性。四层协议及组件如下:可使用系统之间的虚拟专用网络(VPN)链接来保护TCP/IPVPN链接经过加密,可增强隐 私、保密性和身份验证,并保待数据完整性。用于建立 VPN的协议有PPTP L2TPVPN)IPsec。提供协议级安全性的另一种方法是使用 TCP封装器。TCP 封装器是一种可作为基本防火墙的应用程序,它通过基千用户 ID 或系统ID。
信息安全-期末复习题
李桥桉的博客
01-04 1万+
信息安全概论 一、选择题: 1.Smtp协议使用的端口号是(D )。 A、20 B、21 C、23 D、25 2.下面那个命令可以显示本机的路由信息。( ) A、Ping B、Ipconfig C、Tracert D、Netstat 3.计算机病毒是指:( C )。 A、带细菌的磁盘   B、 已损坏的磁盘  C、 具有破坏性的特制程序    D、被破坏了的程序 4.197
网络基础 (深信服)
qq_51574973的博客
09-12 2720
一 走进网络世界 二 二层交换机 三 路由转发 四 IPv6基础知识 五 NAT技术 六 Wireshark 及 Tcpdump工具 七 NetworkMonitor 及 Httpwatch 工具
深信服上网行为管理(AC)、安全网关(SG)学习笔记
热门推荐
Ether_Dzh的博客
08-22 3万+
深信服上网行为管理的学习笔记,由于AC软件版本更新相关特性可能变动,仅供参考哈。。 权威内容请访问深信服官方社区:https://bbs.sangfor.com.cn/ 目录 默认IP 接口保留地址 路由模式 网桥模式 旁路模式 恢复密码 部署模式 AC 路由模式 旁路模式(镜像) 网桥模式 认证模式(12.0) SG 路由模式 旁路模式(镜像) 网桥模式 认证模式 单臂模式(代理) 代理环境部署 协议剥离支持模式 网桥 路由 网桥(仅trunk环.
SCSA 模拟题 知识点 (一)
qq_45791294的博客
01-30 3649
SCSA 模拟题 知识点 (一) 1、CIA三原则基本是安全业界的主流共识,CIA原则是:完整性、可用性、机密性 2、【AC】关于流量管理功能说法正确的是:流控可以基于用户进行流控 3、【AC】数据包如果经过二层交换机转发后,这个数据包的源MAC不会发生变化,如果经过三层交换机路由转发后,源MAC会发生变化 4、【SSL】私有用户同一时间只允许一台PC使用;共有用户允许多人使用,在同一时间内同时登录SSL VPN;私有用户可以在线修改登录密码、DKEY的PIN码、手机号码等 5、【EDR】病毒..
等保2.0 三级 拓扑图+设备套餐+详解
LongL_GuYu的博客
06-13 603
等保2.0 三级 拓扑图+设备套餐+详解
信息安全工程师难记易混淆的知识点
qq_45729615的博客
12-27 4211
备考信息安全工程师的过程中整理的一些笔记,个人认为一些难记的和易混淆的知识点,很遗憾这次的考试我们这里因为疫情取消了,花了三个月时间准备却没能参加这次的考试,现在将这些笔记分享出来一起学习交流,因为事件原因没有排版看着有些乱讲究看吧.同时也欢迎大家来参观我的博客,里面会一直分享我的实训学习笔记:我的博客地址 snort(入侵检测系统)三个主要配置模式:嗅探,包记录,网络入侵检测。 msg用于显示报警信息,content用于指定匹配网络数据包的内容。 异常检测技术:基于行为模式的异常检测算法对目标服务器网络
DMZ区域防火墙技术简述汇编.pdf
12-01
DMZ区域防火墙技术简述汇编.pdf
信息安全技术基础:防火墙DMZ区域.pptx
11-01
信息安全技术基础
学习笔记记录ensp中防火墙配置(trust,unstrus,dmz 资源下载可用)
04-23
学习笔记记录ensp中防火墙配置(trust,unstrus,dmz 资源下载可用)
防火墙设置DMZ归类.pdf
02-09
防火墙设置DMZ归类.pdf
Nginx之静态文件服务器的搭建
wyx的博客
06-13 921
静态文件服务器是指提供HTML文件访问或客户端 可直接从中下载文件的Web服务器。对于图片、 JavaScript或CSS文件等渲染页面外观的、不会动态改 变内容的文件,大多数网站会单独提供以静态文件服 务器的方式对其进行访问,实现动静分离的架构。在以上配置中,每个server指令域等同于一个虚 拟服务器,每个location指令域等同于一个虚拟目录。
函数与数组
最新发布
ibertine_P的博客
06-19 330
sum=0dodoneecho $sumsum1=0sum2=0dothenelsefidoneecho "偶数的和为:$sum1"echo "奇数的和为:$sum2"运行结果偶数的和为:92奇数的和为:107dothenmax=$ifithenmin=$ifidone结果max=7min=1。
Joplin Typora 粘贴图片 | 当使用Typora作为Joplin编辑器时,如何粘贴图片并上传到Joplin服务器替换链接
瑞哥的博客
06-12 682
然而Typora中上传的图片只能在本地,无法上传到Joplin服务器,在其他客户端也看不到图片。本文编写了一个脚本,通过Typora的上传服务器功能,自动上传图片并替换为Joplin链接。在编辑器内粘贴图片,按下ctrl+s 保存,等待几秒后自动替换为内部连接,大公告成。当我们使用Joplin时,上传图片时会自动上传到Joplin服务器替换链接。选择图象,上传服务,命令,确保你的python环境和模块正确。如果遇到问题,可以手动点击上传图片,检查顶部报错。token可以在网页剪藏器中获取。
Oracle--服务器结构详解
一左的博客
06-17 943
它确保有足够数量的空闲缓冲区(即当服务器进程需要读取数据文件中的块时可以覆盖的缓冲区) 在数据库缓冲区高速缓存中可用。在这个进程中,SMON 读取重做日志文件并将重做日志中记录的更改应用到数据块中。LGWR 向重做日志文件中连续写入直到提交记录含提交记录的所有重做日志缓冲区条目。用来存放Oracle系统最近访问过的数据块,经常或者最近被访问的数据块会被放置到高速数据缓冲区的前端,不经常被访问的会被放置到后端。负责在每当缓冲区高速缓存中的更改永久地记录在数据库中时,更新控制文件和数据文件中的数据库状态信息。
防火墙dmz区域什么作用
05-04
2. 降低风险:将所有公网服务都放置在DMZ区域中,可以减少攻击者在成功攻破防火墙后获取内网数据的概率。 3. 方便管理:将公网服务放在DMZ区域中,可以方便地对其进行管理和监控,提高网络管理的效率。 总的来说,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值