代理防火墙
排除连接故障比以前更复杂了
然而稍微了解
些传输控制协议(TCP)“握手”过程有助于诊断包括代理防火墙在内连接问题
首先对于自从我们最后次推出网络课程的后长出白发我们当中些人来说让我们复习下TCP握手是如何工作TCP是个面向连接协议在对设备的间发生任何通讯的前这些设备的间双向通道必须要打开这是通过使用包含标记特殊数据包实现个这种标记是SYN(同步)标记用来指示个连接请求同时ACK标记确认个连接已经打开了完整
3次握手如下图所示:
首先
客户机向服务器发送个SYN数据包服务器收到这个数据包的后将编辑个回答数据包这个服务器打开ACK标记确认客户机通讯请求然后服务器打开SYN标记请求相对方向个通讯频道:从服务器到客户机当客户机收到这个SYN/ACK数据包的后它必须回复个ACK数据包确认服务器-客户机连接请求在这个时候客户机和服务器也许就可以双向通讯了然而
代理防火墙把自己注入到这些过程的间从而影响正常TCP握手见下图:
客户机连接到代理防火墙
以为他们已经和服务器建立了连接这个代理防火墙然后代表这个客户机打开个单独和服务器连接这种独特思路方法在客户机和服务器的间提供了个增加隔离层并且允许防火墙调节这个会话也许检查应用层通讯中潜在恶意内容代理防火墙
存在使排除客户机和服务器的间连接故障更复杂了为了诊断个故障需要对防火墙两边都进行监视我们需要个查看防火墙外部通讯外部监视设备还需要个查看防火墙每个内部接口内部监视设备让我们看几个普通连接问题以及它们在tcpdump输出中是如何出现我们所有例子都将使用上面解释连接情况需要指出是web服务器有两个IP地址:192.168.3.150是服务器在有防火墙局域网内部服务器专用地址10.0.0.120是暴露给世界公共地址第
种情况:服务器问题服务器可能由于拒绝服务攻击、设置
、成功黑客攻击或者其它原因出现连接问题在这些情况下
防火墙工作正常防火墙外部将出现个完整 3次握手输出数据看起来就像下面那样:19:24:36.959777 IP 10.1.1.16.1450 > 10.0.0.120:80: S 735906036:735906036(0) win 16384
19:24:36.987938 IP 10.0.0.120:80 > 10.1.1.16.1450: S 3607622985:3607622985(0) ack 735906037 win 8190
19:24:36.987961 IP 10.1.1.16.1450 > 10.0.0.120:80: . ack 1 win 17640
注意:为了你
方便SYN和ACK都用了黑体字这是个合适 3次握手问题将出现在防火墙和Web服务器的间如果服务器坏了或者没有反应指示器信号将是从防火墙发到服务器系列SYN数据包如下所示:19:22:40.214672 IP 192.168.3.124.1439 > 10.0.0.120.80: S 4182454:4182454(0) win 16384
19:22:43.154580 IP 192.168.3.124.1439 > 10.0.0.120.80: S 4182454:4182454(0) win 16384
19:22:43.154580 IP 192.168.3.124.1439 > 10.0.0.120.80: S 4182454:4182454(0) win 16384
19:22:43.154580 IP 192.168.3.124.1439 > 10.0.0.120.80: S 4182454:4182454(0) win 16384
19:22:43.154580 IP 192.168.3.124.1439 > 10.0.0.120.80: S 4182454:4182454(0) win 16384
第 2种情况:防火墙问题
根据具体问题
防火墙问题也许以区别方式显示自己如果防火墙完全坏了从防火墙向服务器公共地址将有系列没有应答SYN数据包这些数据包将出现在外部监视器上在内部监视器上将不会显示相关通讯另
方面如果防火墙规则设置不正确外部监视器也许会显示种合适 3次握手内部监视器也许不会显示出任何通讯第 3种情况:应用
问题如果在内部和外部监视器上都显示出了合适
3次握手防火墙问题般可以排除在这种情况下最可能原因是应用本身问题例如攻击者也许会攻破这个应用和改变其行为这个服务也许配置错了或者客户机也许做出了个非法请求这些情况不能包括
切它不可能涉及到切可能排除故障情况这就是说这些例子为诊断具有代理防火墙连接问题提供了个极好起点
最新评论