防火墙阻断扫描设备_记一次故障排查

防火墙阻断扫描设备

  • 故障情况
  • 客户反馈
  • 排查过程
  • 结论

故障情况

客户使用扫描设备扫描内部服务器,被防火墙阻断

客户反馈

用扫描设备扫描内部网络,一开始是正常的,扫描了一会就不行了,ping也ping不通。

排查过程

1.确定扫描设备的IP,在防火墙上查看流量日志,威胁日志,查看防火墙对源IP的策略是阻断还是放行

2.查看流量日志,发现动作是允许的,而且有该IP的流量,这说明放行的acl策略没有问题
防火墙阻断扫描设备_记一次故障排查_第1张图片
3.查看威胁日志,发现动作是阻断的,威胁类型是漏洞方式,这说明防火墙识别到扫描的威胁,将该IP阻断了。
防火墙阻断扫描设备_记一次故障排查_第2张图片
4.查看漏洞防护,将默认改为日志(反病毒,防间谍,url过滤都改为日志)
防火墙阻断扫描设备_记一次故障排查_第3张图片

结论

acl策略上是允许这个扫描的ip地址通过,但是匹配到了安全配置文件的威胁类型,所以给这个扫描ip地址,当作威胁给你阻断了

你可能感兴趣的:(阿巴阿巴,网络,网络安全)