防火墻故障的背后

引言： 筆者單位業(yè)務系統(tǒng)利用“前置機”與合作單位進行數(shù)據(jù)交換，在前置機上安裝數(shù)據(jù)庫軟件，建立合作單位數(shù)據(jù)庫。某日，由于前置機遭受攻擊，導致防火墻出現(xiàn)故障。本文介紹故障的排查過程。

目前，各單位業(yè)務系統(tǒng)普遍存在利用“前置機”與合作單位進行數(shù)據(jù)交換。隨著前置機應用范圍不斷擴大，安全問題不容忽視。

前置機顧明思議，就是兩個網(wǎng)絡系統(tǒng)的中間設備。筆者單位就是利用前置機模式來獲取合作單位數(shù)據(jù)。各合作單位通過互聯(lián)網(wǎng)訪問前置機。

筆者單位在機房部署一臺前置機，并在前置機上安裝數(shù)據(jù)庫軟件，建立合作單位數(shù)據(jù)庫。合作單位通過jdbc、odbc或者.net數(shù)據(jù)庫連接驅動器向前置機上各自的數(shù)據(jù)庫寫入數(shù)據(jù)，筆者單位在通過內部系統(tǒng)從前置機上抓取數(shù)據(jù)。網(wǎng)路拓撲如圖1所示。

故障現(xiàn)象

圖1 網(wǎng)絡拓撲圖

一日，筆者在對前置機上聯(lián)防火墻更新證書后，發(fā)現(xiàn)防火墻CPU利用率達到100%。仔細查看防火墻配置，并沒有特別多業(yè)務。再查看各接口流量和連接數(shù)，也都第二天發(fā)現(xiàn)防火墻CPU利用率又達到了100%。按照網(wǎng)絡結構分段排查，從前置機開始查找原因，先斷開前置機網(wǎng)絡，發(fā)現(xiàn)防火墻CPU利用率下降到0%。懷疑前置機中病毒或存在其他問題。經(jīng)過對前置機全盤殺毒后，發(fā)現(xiàn)前置機存在木馬，查殺后，前置機接回網(wǎng)絡，防火墻狀態(tài)恢復正常。在正常范圍內，考慮可能是剛安裝完證書的原因，果斷重啟防火墻。重啟后，防火墻CPU利用率為1%。初步斷定，是更新防火墻證書造成的。過了一天，在筆者進行網(wǎng)絡巡查時，發(fā)現(xiàn)前置機防火墻CPU利用率又達到了100%。重啟防火墻，CPU利用率恢復到1%。筆者認為可能問題并不完全是更新證書的問題，可能存在外部攻擊。

故障排查

登錄防火墻，查看了各接口安全配置，發(fā)現(xiàn)所有接口都沒有啟動防攻擊設置，筆者啟動各接口防攻擊策略。

經(jīng)驗總結

經(jīng)過此次故障，筆者采用定期查殺前置機病毒，定期查看系統(tǒng)日志，增加前置機安全防范措施等措施。對于存在使用前置機的單位，除了為網(wǎng)絡增加防火墻安全設備外，也要充分利用防火墻安全策略，避免前置機完全暴露在互聯(lián)網(wǎng)中，也要增加前置機本身的安全防范，例如開啟日志記錄功能、安裝殺毒軟件、安全防火墻軟件。規(guī)范前置機使用規(guī)則，避免隨意使用。