防火墻故障的背后

引言： 筆者單位業務系統利用“前置機”與合作單位進行數據交換，在前置機上安裝數據庫軟件，建立合作單位數據庫。某日，由于前置機遭受攻擊，導致防火墻出現故障。本文介紹故障的排查過程。

目前，各單位業務系統普遍存在利用“前置機”與合作單位進行數據交換。隨著前置機應用范圍不斷擴大，安全問題不容忽視。

前置機顧明思議，就是兩個網絡系統的中間設備。筆者單位就是利用前置機模式來獲取合作單位數據。各合作單位通過互聯網訪問前置機。

筆者單位在機房部署一臺前置機，并在前置機上安裝數據庫軟件，建立合作單位數據庫。合作單位通過jdbc、odbc或者.net數據庫連接驅動器向前置機上各自的數據庫寫入數據，筆者單位在通過內部系統從前置機上抓取數據。網路拓撲如圖1所示。

故障現象

圖1 網絡拓撲圖

一日，筆者在對前置機上聯防火墻更新證書后，發現防火墻CPU利用率達到100%。仔細查看防火墻配置，并沒有特別多業務。再查看各接口流量和連接數，也都第二天發現防火墻CPU利用率又達到了100%。按照網絡結構分段排查，從前置機開始查找原因，先斷開前置機網絡，發現防火墻CPU利用率下降到0%。懷疑前置機中病毒或存在其他問題。經過對前置機全盤殺毒后，發現前置機存在木馬，查殺后，前置機接回網絡，防火墻狀態恢復正常。在正常范圍內，考慮可能是剛安裝完證書的原因，果斷重啟防火墻。重啟后，防火墻CPU利用率為1%。初步斷定，是更新防火墻證書造成的。……