4月4日网络异常分析报告

4月4日网络异常分析报告

事故过程：

4月4日，公司网络出现异常：中盐项目部和公司的vpn通道断开，造成项目部无法通过vpn内网访问邮件、MIS等系统，另外外网用户也无法正常登录使用ssl vpn。5日上午7:50左右，叶明宏主管重新启动了防火墙和ssl vpn，所有vpn项目部网络断开。后联系联想网御技术人员处理，于10点左右恢复。

分析：

当时的网络结构如下图所示：

VPN项目部和移动用户都是通过因特网接入到公司网络。VPN项目部通过电信线路和公司防火墙建立IPSEC VPN。SSL VPN设备通过防火墙映射出电信公网地址(218.22.26.77)，移动用户通过访问这个公网地址登录SSL VPN后访问邮件等业务。

这种网络拓朴的安全性显而易见，公司内部的网络和设备都受到了防火墙的保护，所有的因特网流量都经过防火墙、网康、IPS等设备的过滤和整形。但同时存在一个问题：SSL VPN通过防火墙转换后被因特网访问，所有通过ssl vpn 的流量都经过防火墙，加重了防火墙的处理负担，如果防火墙出现故障，就会造成SSL VPN无法使用。而4日的SSL VPN登录异常也正是防火墙故障引起的。这种网络结构容易因为防火墙的单点故障而造成网络全面瘫痪。

防火墙故障的原因：

近期对防火墙进行了二次操作，一次是4月1日关闭邮件、mis、财务的外网访问地址；另外一次是4月2日进行ssl vpn联通地址测试时对防火墙进行了操作，并于当日晚18:55对防火墙进行了补丁升级操作(主要是解决路由过多时数据库锁死、资源定义、导入导出升级等问题)。在进行了这些操作后，防火墙并没有重新启动。另外，这种网络结构，所有的流量都经过防火墙，防火墙另外还要进行路由判断和选择的工作，对防火墙的性能也有一些影响。3月17日ssl vpn投用后，防火墙也一直没重启过。这些都是可能造成防火墙故障的原因。

整改措施：

目前，针对上面的几个问题，4月7日下午已经重新调整了公司网络结构(上图)，并重新启动了防火墙。对于ssl vpn，直接从电信线路和联通线路分别连线并设置了电信和联通二个公网IP（方便不同运营商的用户使用），并且ssl vpn 的内网线直接接到核心交换机上（提高ssl vpn用户访问业务系统的速度）。