排除代理防火墙连接故障
天下维客,你可以修改的网络知识库
随着客户机和服务器之间安装更多的代理防火墙,排除连接故障比以前更复杂了。然而,稍微了解一些传输控制协议(TCP)“握手”的过程有助于诊断包括代理防火墙在内的连接问题。
- 代理防火墙
- 代理防火墙不让任何直接的网络流通过,而由它作为Internet和内部网络计算机之间的中间媒介。防火墙自己处理各种网络服务而不是只让它们直接通过。
- 例如,登录到网络上的计算机请求一个Internet网页。计算机不直接链接到Internet网络服务提供的网页,而是连到自己网络的代理服务器上,代理服务器识别代理请求,然后以合适的方式传递给相应的Internet网络服务器。远程网络服务器视为来自防火墙服务器的正常网络请求,发送合适的网页,防火墙服务器再把网页返送给计算机。
- 名词辨析
- 防火墙:在电脑运算中,防火墙是一块硬件或软件,在联网环境中发挥作用,以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制资讯基本的任务在不同信任的区域。 典型信任的区域包括网际网路(一个没有信任的区域) 和一个内部网路(一个高信任的区域)
- 代理:英文全称是Proxy Server,可以代理网络用户去获取网络信息,我们上网过程中,一般是使用浏览器直接连接Internet站点获取网络信息,而代理服务器则是介于浏览器和Web服务器之间的一台服务器,使用代理服务器之后,我们的浏览器就不是直接到Web服务器去获取网页信息了,而是先访问代理服务器,然后由代理服务器获取所需要的信息并传送给浏览器。
目录 |
代理防火墙连接故障现象
首先,客户机向服务器发送一个SYN数据包。服务器收到这个数据包之后将编辑一个回答数据包。这个服务器打开ACK标记确认客户机通讯的请求。然后,服务器打开SYN标记请求相对方向的一个通讯频道:从服务器到客户机。当客户机收到这个SYN/ACK数据包之后,它必须回复一个ACK数据包确认服务器-客户机连接请求。在这个时候,客户机和服务器也许就可以双向通讯了。
然而,代理防火墙把自己注入到这些过程之间从而影响正常的TCP握手。见下图:
客户机连接到代理防火墙,以为他们已经与服务器建立了连接。这个代理防火墙然后代表这个客户机打开一个单独的与服务器的连接。这种独特的方法在客户机与服务器之间提供了一个增加的隔离层,并且允许防火墙调节这个会话,也许检查应用层通讯中潜在的恶意内容。
代理防火墙的存在使排除客户机与服务器之间的连接故障更复杂了。为了诊断一个故障,需要对防火墙的两边都进行监视。我们需要一个查看防火墙外部通讯的外部监视设备,还需要一个查看防火墙的每个内部接口的内部监视设备。让我们看几个普通的连接问题以及它们在tcpdump输出中是如何出现的。我们的所有例子都将使用上面解释的连接情况。需要指出的是web服务器有两个IP地址:192.168.3.150是服务器在有防火墙的局域网内部的服务器专用地址。10.0.0.120是暴露给世界的公共地址。
代理防火墙连接故障的排除方法
- 第一种情况:服务器问题
- 服务器可能由于拒绝服务攻击、设置错误、成功的黑客攻击或者其它原因出现连接问题。在这些情况下,因为防火墙工作正常,防火墙外部将出现一个完整的三次握手。输出的数据看起来就像下面那样:
19:24:36.959777 IP 10.1.1.16.1450 > 10.0.0.120:80: S 735906036:735906036(0) win 16384 19:24:36.987938 IP 10.0.0.120:80 > 10.1.1.16.1450: S 3607622985:3607622985(0) ack 735906037 win 8190 19:24:36.987961 IP 10.1.1.16.1450 > 10.0.0.120:80: . ack 1 win 17640
19:22:40.214672 IP 192.168.3.124.1439 > 10.0.0.120.80: S 4182454:4182454(0) win 16384 19:22:43.154580 IP 192.168.3.124.1439 > 10.0.0.120.80: S 4182454:4182454(0) win 16384 19:22:43.154580 IP 192.168.3.124.1439 > 10.0.0.120.80: S 4182454:4182454(0) win 16384 19:22:43.154580 IP 192.168.3.124.1439 > 10.0.0.120.80: S 4182454:4182454(0) win 16384 19:22:43.154580 IP 192.168.3.124.1439 > 10.0.0.120.80: S 4182454:4182454(0) win 16384
- 第二种情况:防火墙问题
根据具体问题,防火墙问题也许以不同方式显示自己。如果防火墙完全坏了,从防火墙向服务器的公共地址将有一系列没有应答的SYN数据包。这些数据包将出现在外部监视器上,在内部监视器上将不会显示相关的通讯。
另一方面,如果防火墙的规则设置不正确,外部监视器也许会显示一种合适的三次握手。内部监视器也许不会显示出任何通讯。
- 第三种情况:应用程序问题
如果在内部和外部监视器上都显示出了合适的三次握手,防火墙的问题一般可以排除。在这种情况下,最可能原因是应用程序本身的问题。例如,攻击者也许会攻破这个应用程序和改变其行为,这个服务也许配置错了或者客户机也许做出了一个非法的请求。
这些情况不能包括一切。它不可能涉及到一切可能的排除故障的情况。这就是说,这些例子为诊断具有代理防火墙的连接问题提供了一个极好的起点。
