【WALL1600 下一代防火墙】无法访问内网业务

发布时间：2013-11-21

点击量：2960

1 、故障现象
内网业务对外发布后，外部或内部用户无法通过发布地址访问内网的业务

2、故障可能原因
（1）目的地址转配置问题
（2）链路不通和端口被阻断
（3）服务器业务问题

3 、故障处理流程

4、故障处理步骤

步骤1：检查配置

内网对外发布业务基本上都是通过映射方式进行发布，可能会出现两种情况，一种是外网用户通过发布地址无法访问内网资源，另一种是内网用户通过发布地址无法访问内网资源。根据故障出现的情况，可以按照以下步骤检查配置：
1) 确认安全策略配置是否正确（安全策略配置位置：防火墙->安全策略）
正确的安全策略配置如下：

此处需要注意源地址配置，源为发起端，包含外部用户和内部用户，外部用户通常为互联网上的地址，无法进行归纳，所以策略中的源地址应该为“any”。
确认源和目的“接口/安全域”是否设置（默认为any），数据流的入接口为源“接口/安全域”，出接口为目的“接口/安全域”，请确保配置正确。
注：目的地址中的“服务器”地址如需修改，请到资源管理->地址资源->地址节点中进行修改。
添加完安全策略后将会在防火墙->安全策略路径下可以看到一条标记成红色的策略，代表是最新添加的策略，请记得启用新添加策略，如下：

2) 确认NAT规则配置是否正确（NAT规则配置位置：网络管理->NAT-NAT规则）
第一种情况：外部用户访问发布地址
目的地址转换配置如下：

此处的“源地址”为外网用户地址，因为无法汇总所以选择any；“目的地址”为发布的地址，通常为入接口地址（可以直接下拉选择），如不是入接口，则可以新建地址；“服务”为服务器对外开放的端口（若对外发布服务与服务器原服务不同，则需要在“服务”一栏新建对外发布服务的端口，并在下方的“转换后端口”写上服务器的原服务端口）；“入接口”为数据包第一次穿越NGFW设备时的流入接口；“转换后目的地址”为服务器的真实地址。
第二种情况：内部用户访问发布地址（内网用户与服务器在NGFW同一接口下）
目的地址转换配置如下：

此处需要注意的地方是“源地址”需要改成内网用户的地址（段）；“目的地址”是对外发布的地址（需要新建），并不是入接口地址了；“入接口”为数据包第一次穿越NGFW设备时的流入接口，所以为内网接。
源地址转换配置如下：

注：由于内网用户与服务器在同一接口下的时候，服务器回包时很可能不经过NGFW接口从2层设备直接转发，所以该情况需要配置源地址转换
此处需要注意的地方是“目的地址”是内网服务器网卡的地址（一般为私网IP）；“出接口”为数据包最后一次流出NGFW设备时的接口，为内网接口；“转换后源地址”选出接口地址即可。
第三种情况：内部用户访问发布地址（内网用户与服务器不在NGFW同一接口下）
目的地址转换配置如下：

这种情况与第二种情况相比，省去了源地址转换配置。
注：由于内网用户与服务器不在NGFW同一接口下，通常属于不同网段，数据包需要经过NGFW进行转发，所以该情况不需要配置源地址转换
若步骤1中未发现问题，请继续按步骤2开始排查。

步骤2 ：排查链路是否正常、端口是否被阻断

1.从外网客户端telnet对外发布地址的端口号
如下示例：

此处的192.168.2.200代表对外发布地址，对其80端口进行telnet检查是否正常，如果正常则会出现光标短时间内不停闪烁，如下显示：

如果不正常则会一直显示“正在连接”，如下显示：

遇到不正常的情况请用电脑与NGFW设备的外网口直连，重复以上步骤，如果telnet正常则需要检查外网的客户端出口是否存在网络设备对业务端口进行阻止；如果 telnet不正常则继续进行以下的排查。
2.通过串口（或SSH或telnet）登陆到NGFW设备上,默认用户名：admin，密码：firewall，在命令行下telnet真实服务器的端口
如下示例：