故障情况
客户使用扫描设备扫描内部服务器,被防火墙阻断
客户反馈
用扫描设备扫描内部网络,一开始是正常的,扫描了一会就不行了,ping也ping不通。
排查过程
1.确定扫描设备的IP,在防火墙上查看流量日志,威胁日志,查看防火墙对源IP的策略是阻断还是放行
2.查看流量日志,发现动作是允许的,而且有该IP的流量,这说明放行的acl策略没有问题
3.查看威胁日志,发现动作是阻断的,威胁类型是漏洞方式,这说明防火墙识别到扫描的威胁,将该IP阻断了。
4.查看漏洞防护,将默认改为日志(反病毒,防间谍,url过滤都改为日志)
结论
acl策略上是允许这个扫描的ip地址通过,但是匹配到了安全配置文件的威胁类型,所以给这个扫描ip地址,当作威胁给你阻断了