信息化觀察網(wǎng)

在網(wǎng)絡(luò)運維中，經(jīng)常有開通策略訪問的需求，當(dāng)我們放通策略后，告知用戶測試下，但是用戶反饋給我們的是，還是無法訪問，這個時候我們檢查防火墻策略，發(fā)現(xiàn)沒有問題，但是用戶就是反饋不通，這樣的場景是很常見的。此時我們應(yīng)該如何檢測防火墻呢？以下一些排錯思路供大家參考。

第一：連通性檢查

首先要通過ping命令檢查連通性，在防火墻策略中，建議放通icmp包，以便排除路由問題。

第二：策略置頂

防火墻策略添加后，默認(rèn)一般放在最底部，不同的防火墻可能不同，而策略的匹配順序是由上到下，所以如果不將策略置頂，可能無法匹配到我們放通的策略，可能導(dǎo)致訪問不通現(xiàn)象。

第三：策略放大檢查

如果檢查連通性沒有問題，可以嘗試進(jìn)行放大源zone，目的zone，源IP，目的IP，目的端口等范圍，并且開啟策略記錄日志功能，檢查是否有匹配到該策略，如果有匹配到，就會記錄在日志中。然后可以看到具體的地址訪問情況，進(jìn)而在縮小策略。

第四：檢查Session

可以通過查看Session會話，檢查數(shù)據(jù)流匹配到了哪一條策略，會話的生存時間等，然后根據(jù)Session給出信息，進(jìn)行調(diào)整策略。

第五：debug方法

可以通過debug方法，也叫做抓包，檢查防火墻對這個數(shù)據(jù)流的處理過程，檢查在哪個處理過程出現(xiàn)了異常，沒有符合預(yù)期。但是debug比較耗費資源，如果cpu、memory等資源緊張，建議不要使用該方法，因可能影響業(yè)務(wù)，debug比較消耗cpu及memory。

以上就是網(wǎng)絡(luò)運維中應(yīng)知的防火墻策略放通排錯思路，歡迎留言補充!