鸿鹄论坛 › HCIA认证交流 › 华为防火墙异常，求解！！

68781476 发表于 2013-7-8 15:43:21

华为防火墙异常，求解！！

本帖最后由 68781476 于 2013-7-8 15:45 编辑

最近公司的华为防火墙出现30多万条session ，到底是为什么??正常吗???
dis firewall session table
15:05:182013/07/08
Current total sessions : 349082
tcpVPN: public -> public 61.147.112.110:5191-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.83:3349-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.60:5386-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.60:5386-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.149:3410-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.118:5519-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.39:1905-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.162:2458-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.249:1790-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.225:1846-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.46:2392-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.18:389-->121.12.116.67:7000
tcpVPN: public -> public
120.197.4.13:9900<--211.136.218.72:7524
tcpVPN: public -> public 61.147.112.3:3684-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.3:3684-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.73:3809-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.204:10-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.64:200-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.184:2670-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.61:1157-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.91:4787-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.133:4924-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.215:4721-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.8:4834-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.110:1236-->121.12.116.67:7000
tcpVPN: public -> public
120.197.4.47:6005<--218.204.254.169:14948
tcpVPN: public -> public 61.147.112.11:337-->121.12.116.67:7000
tcpVPN: public -> public
120.197.4.47:6005<--117.136.31.32:47855
tcpVPN: public -> public 61.147.112.220:3831-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.63:5674-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.72:4093-->121.12.116.67:7000
tcpVPN: public -> public
120.197.4.17:8080<--117.136.31.20:40379
tcpVPN: public -> public 61.147.112.170:1711-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.241:2507-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.18:4374-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.88:4499-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.212:4433-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.158:4564-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.0:3396-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.61:5142-->121.12.116.67:7000
tcpVPN: public -> public 61.147.112.111:5467-->121.12.116.67:7000
---- More ----

aran514 发表于 2013-7-8 15:51:16

7000端口应该是盛大传奇使用的端口。楼主是做什么的？
这个看表面现象应该是客户访问盛大的流量。

68781476 发表于 2013-7-8 15:59:12

aran514 发表于 2013-7-8 15:51 static/image/common/back.gif
7000端口应该是盛大传奇使用的端口。楼主是做什么的？
这个看表面现象应该是客户访问盛大的流量。

管理防火墙，公司的高手走了，我是新招过来的菜鸟，哎！！
那他是怎么穿透我的防火墙的，是墙没有做策略吗？？

麦克斯 发表于 2013-7-8 16:01:25

aran514 发表于 2013-7-8 15:51 static/image/common/back.gif
7000端口应该是盛大传奇使用的端口。楼主是做什么的？
这个看表面现象应该是客户访问盛大的流量。

{:6_268:}

68781476 发表于 2013-7-8 16:02:07

30多万条，天哪！！！

aran514 发表于 2013-7-8 16:03:52

1、防火墙的策略的话你要自己来查了，建议根据目的地址（或地址段）搜索策略。
   看是否允许了这类访问；
2、不知道你那里是不是盛大的，如果不是，这个流量可能是攻击。
3、不排除你那里用7000端口做了其他应用，这个具体要看你的业务了，只有这个截图也不好分析。

68781476 发表于 2013-7-8 16:07:26

aran514 发表于 2013-7-8 16:03 static/image/common/back.gif
1、防火墙的策略的话你要自己来查了，建议根据目的地址（或地址段）搜索策略。
   看是否允许了这类访问； ...

具体要如何分析，可以教个大概，或者推荐有什么资料看看！！

68781476 发表于 2013-7-8 16:09:57

68781476 发表于 2013-7-8 16:07 static/image/common/back.gif
具体要如何分析，可以教个大概，或者推荐有什么资料看看！！

搜了配置，但是根据源和目的ip都没有这条策略！！！

aran514 发表于 2013-7-8 17:12:26

1、首先看这个是不是你的正常业务，如果不是就想办法deny掉；
2、没有看到你的具体的策略，建议检查是否有包含这些网段的策略，或者有没有包含any的策略，允许了这个目的地址的访问；
3、另外有一个问题请教，30多万条是多长时间内出现的，如果是有真没大的并发，一道门1000撑得住么？
    很久没看设备了。

68781476 发表于 2013-7-8 18:21:19

aran514 发表于 2013-7-8 17:12 static/image/common/back.gif
1、首先看这个是不是你的正常业务，如果不是就想办法deny掉；
2、没有看到你的具体的策略，建议检查是否有 ...

这就是奇怪的地方，30多万条是间歇性的，有时会正常个几分钟后又来了，
这么多并发但是cup 和内存负载也是正常的
非常郁闷！

aran514 发表于 2013-7-9 11:05:26

是不是正常的业务要跟你们的应用部门去确认。如果是正常的业务就可以不理它。
如果不是正常的业务，就用策略把这些流量干掉。
你分析这些流量的时候首先要从是否正常业务的角度去看，然后再看技术方面的问题。

68781476 发表于 2013-7-9 16:03:52

本帖最后由 68781476 于 2013-7-9 16:13 编辑

aran514 发表于 2013-7-9 11:05 static/image/common/back.gif
是不是正常的业务要跟你们的应用部门去确认。如果是正常的业务就可以不理它。
如果不是正常的业务，就用策 ...
不是正常的业务，那些地址我都是没有见过的
业么有做相应的vpn
vpn语句只有一条：ip vpn-instance a vpn-id 23
name”a“，和id”23“
业没有找到相应的关联，不是很懂呀?? tcpVPN: public -> public 61.147.112.143:3554-->113.107.190.159:7010
连接是什么应用，或是什么意思吗？？

快乐每一天 发表于 2013-7-22 16:41:23

把7000的端口关了！

白色的低调 发表于 2013-8-23 20:04:59

{:6_267:}{:6_267:}{:6_267:}

幸福的海 发表于 2013-8-25 19:13:05

{:6_301:}

查看完整版本: 华为防火墙异常，求解！！