防火墙阻断扫描设备_记一次故障排查

故障情况

客户使用扫描设备扫描内部服务器，被防火墙阻断

客户反馈

用扫描设备扫描内部网络，一开始是正常的，扫描了一会就不行了，ping也ping不通。

排查过程

1.确定扫描设备的IP，在防火墙上查看流量日志，威胁日志，查看防火墙对源IP的策略是阻断还是放行

2.查看流量日志，发现动作是允许的，而且有该IP的流量，这说明放行的acl策略没有问题

3.查看威胁日志，发现动作是阻断的，威胁类型是漏洞方式，这说明防火墙识别到扫描的威胁，将该IP阻断了。

4.查看漏洞防护，将默认改为日志（反病毒，防间谍，url过滤都改为日志）

结论

acl策略上是允许这个扫描的ip地址通过,但是匹配到了安全配置文件的威胁类型,所以给这个扫描ip地址,当作威胁给你阻断了