今天到一个客户那里，他们反映到中午和下午的时候防火墙内网口就会阻塞（无法PING通）。

电信（10M）——》防火墙（100M）——交换机（1000M）——接入交换机（100M）——工作站

整个网络用户200，根据应用分为4个VLAN，核心交换机上进行VLAN间路由
趋势网络防毒（很烂的，5.58版本）
但是随机换另一种杀毒软件后也没有发现严重病毒，SNIFFER也没有发现有发广播包/组播包的情况。

在中午11点的时候情况正好出现，通过SNIFFER和防火墙日志纪录发现一到2台机器的源和目的PORT变换不停，NET50防火墙判断为DOS攻击。我们认为是有IM系统传送或游戏，通过SNIFFER得到的MAC地址到交换机上查找到连接的端口，查到房间号对应主机名，正是有两台电脑，一台BT下载，一台QQ游戏。

停掉服务后防火墙正常。

但是我们认为在此网络环境中应当不会只因为这个造成防火墙的阻塞。

不知道各位XDJM的看法。

请问是我下载的版本问题还是注册信息造成的问题？

一般BT下载是不会导致连防火墙都拼不通的。我们单位经常同时有5，6台BT下载，包括我（因为我有权限打开端口，所以我的速度基本在600K以上，呵呵）可是网络都没有受到什么大的影响。到是有段时间发生过类似情况，防火墙内网口拼不通，后来Sniffer抓包发现，是因为有一台SQL Server没有打补丁，中了SQL蠕虫，疯狂向外发包，非常厉害，Sniffer一打开就立刻被堵死。后来更新补丁，清除病毒后OK。对于你的情况，首先要弄清楚从什么地方抓包。是仅仅防火墙拼不通，还是内网也拼不通（若连内网也不通，防火墙当然不通了）若仅是防火墙拼不同，可以在核心交换机上配置防火墙接口的监听端口，再抓包。若是内网不通，则要为你的Vlan配置监听端口（Cisco的监听端口支持对Vlan的监听），再抓包。你还可以把抓到的包传上来，很多人会帮忙分析的。

[ Last edited by dahliawoo on 2005-5-18 at 23:41 ]

仅仅是从工作站到防火墙内网口不通，截包是从防火墙——交换机的交换机端口对SNIFFER端口。

引用:

Originally posted by fishyxq at 2005-5-18 11:56 PM:
截包是从防火墙——交换机的交换机端口对SNIFFER端口。

不太理解你的意思，你最好为防火墙内口配置一个监听端口，在监听端口上接Sniffer。http://www.netexpert.cn/viewthread.php?tid=70&fpage=1这里有监听端口的资料。

防火墙是个什么型号的？
性能如何？

建议多检查系统漏洞、补丁安装情况，是否中毒
一般情况下BT和游戏不至于有这么大的影响，只占带宽而已

引用:

Originally posted by DragonGo at 2005-5-19 12:25 AM:
防火墙是个什么型号的？
性能如何？

netscreen 50,百兆防火墙

引用:

Originally posted by smlq at 2005-5-19 08:48 AM:
建议多检查系统漏洞、补丁安装情况，是否中毒
一般情况下BT和游戏不至于有这么大的影响，只占带宽而已

放病毒程序为趋势网络版，虽然很烂，但是病毒库还是最新得，没有严重得病毒

引用:

Originally posted by dahliawoo at 2005-5-19 12:05 AM:

不太理解你的意思，你最好为防火墙内口配置一个监听端口，在监听端口上接Sniffer。http://www.netexpert.cn/viewthread.php?tid=70&fpage=1这里有监听端口的资料。

防火墙到交换机为f0/1;  sniffer到交换机为f0/24，端口镜像为f0/1-->f0/24,这样行不行？

引用:

Originally posted by fishyxq at 2005-5-19 08:57 AM:



防火墙到交换机为f0/1;  sniffer到交换机为f0/24，端口镜像为f0/1-->f0/24,这样行不行？

应该是可以的，不知道你的防火墙有没有空余地的内网交换口，如果有的话，不防在ping不通的时候接上单机真接ping防火墙内网口，也有可能是防火墙性能差或出现问题。一般您说的那种情况是不会阻塞网络的。

ping不通是指什么？防火墙死机了么，是不是要重启才能解决？

昨天抓的包没有导回来，下周再去一趟，把包抓回来给大家分析一下

引用:

Originally posted by fishyxq at 2005-5-19 08:54 AM:



netscreen 50,百兆防火墙

netscreen 50应该是定位在ROBO市场的
性能个人感觉应该一般！