在网络运维中,经常有开通策略访问的需求,当我们放通策略后,告知用户测试下,但是用户反馈给我们的是,还是无法访问,这个时候我们检查防火墙策略,发现没有问题,但是用户就是反馈不通,这样的场景是很常见的。此时我们应该如何检测防火墙呢?以下一些排错思路供大家参考。
第一:连通性检查
首先要通过ping命令检查连通性,在防火墙策略中,建议放通icmp包,以便排除路由问题。
第二:策略置顶
防火墙策略添加后,默认一般放在最底部,不同的防火墙可能不同,而策略的匹配顺序是由上到下,所以如果不将策略置顶,可能无法匹配到我们放通的策略,可能导致访问不通现象。
第三:策略放大检查
如果检查连通性没有问题,可以尝试进行放大源zone,目的zone,源IP,目的IP,目的端口等范围,并且开启策略记录日志功能,检查是否有匹配到该策略,如果有匹配到,就会记录在日志中。然后可以看到具体的地址访问情况,进而在缩小策略。
第四:检查Session
可以通过查看Session会话,检查数据流匹配到了哪一条策略,会话的生存时间等,然后根据Session给出信息,进行调整策略。
第五:debug方法
可以通过debug方法,也叫做抓包,检查防火墙对这个数据流的处理过程,检查在哪个处理过程出现了异常,没有符合预期。但是debug比较耗费资源,如果cpu、memory等资源紧张,建议不要使用该方法,因可能影响业务,debug比较消耗cpu及memory。
以上就是网络运维中应知的防火墙策略放通排错思路,欢迎留言补充!
