防火墙和深信服（SangFor SG 3.3R2）的误会

  首先说明一下公司的网络拓扑吧，如图：

网络很简单，四个vlan，防火墙和深信服单独一个vlan33，核心交换机除了必要安全配置外，对内网没有任何控制，路由都是自动生成，并且加了条默认路由下一跳是防火墙的lan口。

       好了，下面描述一下问题，从我获得防火墙管理权限之后（以前都是上级在管理，出问题后我趁机接手了）发现每天都有一个重复事件，一个外网ip 1.2.3.4居然在我们内部网络一直向各台存在或者不存在的pc发送udp包，并且端口是999，防火墙发现异常把它deny了。有图如下：

      我就奇怪了，去百度了一下这个ip是加拿大的，可是防火墙说得很清楚，是从1-Trusted 到 1-Trusted 内网口的，那就一定是内部的问题了，由于查到999端口是已知的木马Deep Throat（深喉）利用的端口，所以怀疑是中了木马了，而我们内网一直有木马和病毒我是知道的，而且用wireshark抓包后发现好多机器都发这个包。所以我在域中部署了360企业版（这在我另外的博客中有写到）杀毒后以为就解决了，杀了好多病毒和木马，但是就是没有Deep Throat，也没有用到999端口的，所以问题依旧！

    因为好多机器都在发，而且很随机，所以一台台分析有点麻烦，并且只在刚上班的时候很多人开机的是发的最多，我就想把它禁掉试试看，所以我在h3c核心交换机上每个vlan的out方向做了禁止1.2.3.4的acl，结果好多机器过一会就断网了，而也有不少正常的，这就让我纳闷了，由于生产环境，虽然下班了，还是有不少人在办公，我立马把acl撤销了。后来我想了一下把标准acl拒绝原地址为1.2.3.4的包应用到各个vlan的in的方向，并且除了防火墙和深信服的vlan没有应用，结果毫无影响力，网络也正常，但是1.2.3.4还是出现了，豁然开朗了，防火墙的策略对自身没有任何影响，如果问题出在防火墙那防火墙肯定不会deny掉1.2.3.4，所以问题只能是在深信服上面了，打电话给深信服，他们的人说：“你们过期很久了，要购买服务，不然什么都不说”。公司为了省钱，而且以前的网管估计也没有这种意识，买回来就没动过，软件版本还是买回来的时候的样子。

       那就只能自己去寻找答案了，我和我的另外一个同事讨论了一下，发现有个很可疑的地方，就是深信服行为管控的时候，用户必须安装一个控件才能上网，于是跑到那些可以电脑上面一看，问题明白了

     所有运行ingress.exe的都在向1.2.3.4发包，而深信服本身居然隐藏了一个1.2.3.4的ip，真不明白深信服公司为什么会用这么一个外网的ip来收发这些包，而不用我们配置给它的内网管理ip呢？？搞得防火墙误报！而且在操作手册上面也从来没有提到过有这个ip。这里没有任何贬低深信服的意思，只是如实说而已，而且我觉得深信服做行为管控还是很不错的，很方便，也很简单！如果哪位朋友用深信服的帮留意一下你们是否也有这个问题，帮问问厂商^_^！

本文出自 “愤怒的菜鸟” 博客，谢绝转载！