首先说明一下公司的网络拓扑吧,如图:093658588.png

网络很简单,四个vlan,防火墙和深信服单独一个vlan33,核心交换机除了必要安全配置外,对内网没有任何控制,路由都是自动生成,并且加了条默认路由下一跳是防火墙的lan口。

       好了,下面描述一下问题,从我获得防火墙管理权限之后(以前都是上级在管理,出问题后我趁机接手了j_0003.gif)发现每天都有一个重复事件,一个外网ip 1.2.3.4居然在我们内部网络一直向各台存在或者不存在的pc发送udp包,并且端口是999,防火墙发现异常把它deny了。有图如下:

094823663.png

      我就奇怪了,去百度了一下这个ip是加拿大的,可是防火墙说得很清楚,是从1-Trusted 到 1-Trusted 内网口的,那就一定是内部的问题了,由于查到999端口是已知的***Deep Throat(×××)利用的端口,所以怀疑是中了***了,而我们内网一直有***和病毒我是知道的,而且用wireshark抓包后发现好多机器都发这个包。所以我在域中部署了360企业版(这在我另外的博客中有写到)杀毒后以为就解决了,杀了好多病毒和***,但是就是没有Deep Throat,也没有用到999端口的,所以问题依旧!

100046995.png

    因为好多机器都在发,而且很随机,所以一台台分析有点麻烦,并且只在刚上班的时候很多人开机的是发的最多,我就想把它禁掉试试看,所以我在h3c核心交换机上每个vlan的out方向做了禁止1.2.3.4的acl,结果好多机器过一会就断网了,而也有不少正常的,这就让我纳闷了,由于生产环境,虽然下班了,还是有不少人在办公,我立马把acl撤销了。后来我想了一下把标准acl拒绝原地址为1.2.3.4的包应用到各个vlan的in的方向,并且除了防火墙和深信服的vlan没有应用,结果毫无影响力,网络也正常,但是1.2.3.4还是出现了,豁然开朗了,防火墙的策略对自身没有任何影响,如果问题出在防火墙那防火墙肯定不会deny掉1.2.3.4,所以问题只能是在深信服上面了,打电话给深信服,他们的人说:“你们过期很久了,要购买服务,不然什么都不说”。公司为了省钱,而且以前的网管估计也没有这种意识,买回来就没动过,软件版本还是买回来的时候的样子j_0012.gif

       那就只能自己去寻找答案了,我和我的另外一个同事讨论了一下,发现有个很可疑的地方,就是深信服行为管控的时候,用户必须安装一个控件才能上网,于是跑到那些可以电脑上面一看,问题明白了

103101859.jpg

103103178.jpg

     所有运行ingress.exe的都在向1.2.3.4发包,而深信服本身居然隐藏了一个1.2.3.4的ip,真不明白深信服公司为什么会用这么一个外网的ip来收发这些包,而不用我们配置给它的内网管理ip呢??搞得防火墙误报!而且在操作手册上面也从来没有提到过有这个ip。这里没有任何贬低深信服的意思,只是如实说而已,而且我觉得深信服做行为管控还是很不错的,很方便,也很简单!如果哪位朋友用深信服的帮留意一下你们是否也有这个问题,帮问问厂商^_^!