[故事之二十]防火墙设置错误，合法用户进入受限

E网十族

[症状]今天的“病人”是某市社会保险局，昨天下午全局工作人员加班，配合网络管理部门于18:30安装好了一套新的防火墙系统，重新启动整个保险网络系统，反应良好，防火墙工作也很正常。但好景不长，今天上班时，许多Intranet内部有权用户就打电话反映在查询和操作保险资料时出现无法进行数据调用和修改的故障现象，此时屏幕提示登录者为“非法用户”；系统管理员同时还发现只有从防火墙处可以访问网络并修改数据。同时，一个有趣的现象却是，Internet外部普通用户在查询各种用户资料时却没有问题，他们无论从何处都可以顺利地访问Web服务器。他们投诉的对象主要是“业务部门”：“为何都一天了，还在借口计算机网络故障不受理业务，到底能不能弄好，什么时候能弄好”。
由于Intranet主要是供内部系统业务机构的各级有权网络用户使用，所以系统的许多正常功能无法正常启用，致使员工和业务对象反响都很强烈。
该社会保险局的网络结构比较复杂，含业务专用网，OA网，Intranet网和Internet网等。其中，Intranet设计为内部业务网，主要进行业务服务。Internet主要是为电话接入访问的用户提供服务， OA网通过LAN内的以太网交换机同Web服务器实现联结。无论是Intranet用户还是Internet用户均可以在网上申报和查询资料。业务数据的安全设计为双Web服务器，Internet用户和Intranet用户各用一个。Intranet的Web服务器兼有备份数据的功能，两个Web服务器互联，之间的业务数据同时更新。Internet用户只能浏览、查询数据并可以进行网上申报等各种服务，不能更改数据。对Intranet内部用户实行有权访问和申报、数据修改特权限制等体制。局内的OA网用户可以象Internet用户那样随时访问和查询Internet的Web数据服务器，其中设置了部分有权用户，他们可以访问Intranet业务网的Web服务器。安装的防火墙对IP包进行过滤，只允许合法IP用户进入。从“病人”传真过来的网络结构图看，Intranet的用户用PSTN公用电话系统、DDN数据专线将各地、县、区的业务网络节点联结起来，使用者都是地点固定的内部用户(员工)。
[诊断过程]显然，故障现象与昨天新安装的防火墙系统有很大关系。将网络测试仪F683接入服务器所在网段，启动网段搜索功能，可以发现Internet用户的Web服务器，但不能发现Intranet的Web服务器。去掉防火墙，则可以搜索到该服务器。说明确实是防火墙的问题。但昨天安装防火墙时整个系统是正常的，所以查找故障的焦点要放在安装防火墙以后有无更改过防火墙参数。此即故障排除经验中的所谓“动则有过”故障查找原则。如果能弄清网管人员都动过哪些参数和设置，查找故障的工作会便捷得多。经常让人感到遗憾且奇怪的是，多数维护管理人员都不会承认更动过网络的任何设置，这次也同以往一样。
用网络测试仪连续作ICMP类型PING测试发现，Web服务器是存在的，且反应率为百分之百。说明Web服务器在网络上且可以正常工作。同时用网络一点通One Touch选择Web服务器的IP地址为目标地址发送流量，启动网络测试仪的协议分析功能，发现数据帧指向防火墙以后就没有任何反应了：任何回应数据帧都未出现。将网络助理One Touch的IP地址设置成任何一个已经存在的有权用户的IP地址，然后对Web服务器发送流量，这时网络测试仪可以观察到防火墙有回应数据帧出现。这说明防火墙对合法IP地址的有权用户是有反应的，但一般返回的数据帧是非法用户的提示信息。注意到前述现象中提到过只有防火墙能访问Web服务器，我们就将网络测试仪的MAC地址改为与防火墙相同的MAC地址，用网络测试仪假冒防火墙进入网络，启动网段搜索时则可以看到久别了的Web服务器。
以上现象说明，该防火墙的功能比较强，除了能过滤IP地址外，还能对各站点的MAC地址进行过滤，以防止“拥有合法IP地址的非法用户”进入系统，是一个比较好的“看门人”。但让人疑惑的是昨天安装防火墙时，网络管理人员只启动了IP包过滤功能，并未启动MAC地址鉴别功能，那么，MAC地址滤波功能是谁启动的呢？答案是：不得而知。
查看防火墙帮助文件，按提示揿下format下拉式中的MAC地址过滤菜单，关闭MAC地址过滤功能，系统随即恢复正常。
[诊断评点]不少防火墙是靠对IP地址进行过滤和用户密码识别等方法来鉴别有权用户及其合法性等级的，一般不对网卡的MAC地址进行识别。安全性要求高的用户则需要对用户的MAC地址进行鉴别，以便阻止获悉了密码的非法用户模仿IP地址(用户可以在2分钟内随意更改工作站的IP地址)访问网络，部分防火墙和网管系统具有类似功能。我们知道，一般网卡的MAC地址是按制造商的编码设置的，从原理上讲世界上没有两块具有完全相同MAC地址的网卡，而多数网卡地址在制造时就永久地固定在ROM中，用户是不能更改的。对于具有固定用户的Intranet网络，具有MAC地址过滤功能的防火墙是非常有效的，它可以阻止对网络的各种试探性进攻。
对于Internet用户，这一功能不能启用，所以需要采用两台Web服务器，一个用于查询和申报，另一个作备份，并可以按有权体系修改相应数据。
可以肯定，系统管理人员昨天在防火墙安装完成以后可能出于好奇或是其它原因擅自将防火墙的MAC识别功能按钮有意无意地按下了，从而启动了MAC识别功能，致使今天整个系统工作不畅。
[诊断建议]对Intranet网络固定有权用户和部分OA网络固定有权用户设置MAC地址鉴别功能对于系统安全和阻止非法用户、恶意用户的进攻是有效的。这类用户多数来自于网络内部的成员，对加权识别设置和安全口令有一定了解，容易钻空子。设置MAC识别功能后，除非是在对应的那台唯一的机器上进行操作，否则是无法进入网络的。我们向该社会保险局建议将防火墙安装分两步走：先将系统内的网络成员的所有网卡的MAC地址备份，在备份工作完成以前，暂时不启动MAC地址鉴别功能；第二步，启动MAC地址识别功能，以提高系统的可靠性。稍微麻烦的是，有权用户在更换网卡时必须向防火墙管理员申请重新设置合法的MAC地址档案才能进网工作。这样，网络固定有权用户的任何成员在需要更改机器的IP地址以及更换网卡或新机器时都必须向系统管理原申报备案后才能进行。
[后记]一周后，社保局网络防火墙的MAC识别功能启动