checkpoint 防火墙 Call center专线切换故障及排除

环境描述:

某国有企业callcenter系统一中心三平台结构,现需要在中心服务器集群前增加check point防火墙等安全设备

问题描述:

在check point防火墙割接上线后,随机抽选部分话务坐席进行测试,信令传输、三方呼叫、通话转移等一切正常,但大部分坐席人员上班后,各种通话故障随机出现,此时信令传输正常。

排查过程:

发现出现以上问题,立即进行排查。

1、首先登陆smartDashboard查看安全策略

从策略状态显示,在割接测试到故障出现之间的时间段,没有人为更改相关策略,策略一切正常。

2、其次查看smartlog系统,在log系统中随机输入故障话机的IP地址

也没有发现drop数据包信息

3、随即使用smartview  tracker进一步查看数据包情况,在过滤条件中添加故障话机IP地址:

查看过滤结果

没有发现任何异常信息

4、通过使用命令行在设备接口处进行抓包分析

;[cpu_4];[fw4_1];fw_log_drop_ex: Packetproto=1 219.141.216.254:0
-> 219.141.216.12:0 dropped byfwha_select_ip_packet Reason: icmp
probe reply to our request;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by
fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packetproto=17 0.0.0.0:8116 -> 219.141.216.12:8116 dropped
byfw_handle_first_packet Reason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by
fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_5];[fw4_0];fw_log_drop_ex:
Packetproto=17 192.168.254.4:137 -> 10.96.21.136:137 dropped
byfw_handle_first_packet Reason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by
fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packetproto=17 0.0.0.0:8116 -> 219.141.216.12:8116 dropped
byfw_handle_first_packet Reason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by
fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_4];[fw4_1];fw_log_drop_ex:
Packetproto=17 172.23.140.36:51221 -> 10.96.4.249:2055 dropped by
fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_4];[fw4_1];fw_log_drop_ex:
Packetproto=1 10.96.165.20:0 -> 10.96.165.28:0 dropped by
fwha_select_ip_packetReason: icmp probe reply to our request;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packet proto=170.0.0.0:8116 -> 219.141.216.12:8116 dropped by
fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by
fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by
fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by
fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packetproto=17 0.0.0.0:8116 -> 219.141.216.12:8116 dropped
byfw_handle_first_packet Reason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex:
Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by
fw_handle_first_packetReason: Rulebase drop - rule 629;

也不存在任何和callcenter IP地址相关的drop信息

5、经过以上几个步骤的检查,初步排除check point防火墙问题,配合网络团队逐台检查此次上线的其它设备,终于在核心交换之间的一台IPS设备上发现异常状态,该IPS设备log显示,在call center话务出现故障的时间段内该设备遭受DDOS攻击,丢弃了大量疑似攻击的UDP数据包。

6、经过和语音团队确认,call center在语音通过过程中,正是使用UDP随机端口进行传输,关闭IPS抗DDOS功能之后,话务坐席故障消失,通话回复正常。

原因分析:

原来call center系统在工作时,首先在话机和服务器之间传输语音信令,之后话务坐席之间直接通讯,用的是UDP1023-65535随机端口,在割接测试时,同时工作的话机比较少,此时传输正常。当三地坐席人员全部到位后,因为所有的坐席都在同一个网段,UDP数据包在单位时间内超过了IPS预设的DDOS阀值,所以IPS就把来自cc网段的UDP包判断为DDOS攻击丢弃,导致语音数据包不全,出现了随机的语音故障。

时间: 2024-09-30 06:12:28

checkpoint 防火墙 Call center专线切换故障及排除的相关文章

Checkpoint防火墙ClusterXL 故障之FIB Problem问题解决

Checkpoint防火墙ClusterXL 故障之FIB Problem问题解决   办公网有两台CheckPoint防火墙做cluster的HA主备模式,Custer-HA出现故障现象如下(其中一台CP-248状态为down,一边CP-246为active),导致CP-246和CP-248的cluster的HA准备切换不成功. [NJZQ-CP-248]# cphaprob stat Cluster Mode:   New High Availability (Active Up) Numb

checkpoint 防火墙系统报错1--the internal CA certificate failed(内部CA损坏)

独立部署完checkpoint防火墙之后,在防火墙上启用MOB功能和monitoring功能,当勾选monitoring的"traffic connections"和"traffic throughput"选项后,出现这个报错: "The generation of the internal CA certificate failed. This node will not be able to perform certain VPN operations

checkpoint防火墙CPU飙高报警

前些天报警系统频繁报出checkpoint防火墙CPU0,CPU1使用率高达95%.登陆checkpoint命令行 expert模式使用"top"命令可以看到一个"monitored"的进程很占用CPU 查了一下相关文档主要是/var/log/db/var/log/下的db文件高达700多M 官方提供的处理方法如下: ===========================================================================

Juniper SRX220防火墙CPU达到100%的故障解决办法

Juniper SRX220防火墙CPU达到100%的故障解决办法 一.背景 2016年5月21日设备巡检时发现广东机构的防火墙SRX220的CPU高达100%,但是设备还能管理,但是卡顿明显,业 务还没有中断. 二.解决办法 1.查看设备的告警信息,没有告警. 2.查看带宽监控查看设备端口流量,均不高. 3.查看设备系统进程. 4.查看设备的日志信息. 5.与厂商工程师沟通,初步判断是由于NTP服务的开启导致该端口被利用,发生在了NTP攻击. 6.关闭NTP配置,设备远程管理不再卡顿,但是CP

checkpoint防火墙升级

应用场景:checkpoint软件防火墙,双机,无额外服务器 概要: 近期为了解决R75.47内存偶尔不释放的问题,决定将现有的checkpoint防火墙升级为R77.20.目前使用的是软件防火墙双机,但无额外的服务器可以进行平滑替换.因此升级方案如下: 1.备机剥离线上环境,单独升级备机防火墙.此时master防火墙单机运行. 2.接入升级后的备机,master防火墙剥离线上环境.此时备机单机运行. 3.观察一周,状态正常后,升级master防火墙,接入master防火墙.此时主备双机运行.

checkpoint防火墙中Voip下H323协议配置方法

现象描述: 使用checkpoint防火墙作为安全防护网关,网络正常,但Voip(H323)业务不通. 解决方法如下: 对Voip各个终端IP汇总建组,作为源地址和目标地址,见图一 协议选择H323_ras.H323_any和UDP高端口.TCP61440-61444,见图二 H323_ras和H323_any协议配置如下(必须注意) H323_ras代表开启1720端口时绑定H323_RAS协议 H323_any则表示只开启1720端口,不包含协议信息 注:在有些特定程序中,在定义端口时需要绑

超低温冰箱的常见故障及排除与维护保养

超低温冰箱虽然制冷系统和控制电路都比较复杂,但常见故障主要是循环系统和电路部分故障,下面简要介绍几种常见故障及其排除办法. 1.接通电源后,总电源的空气开关自动断开 排除方法:检查第一级制冷系统的压缩机是否损坏,若损坏则会造成短路,引起电源保护.可以更换配件,若没有原厂配件,可经测算更换相当功率的冰箱压缩机,将管道焊接好,经过加压检查完管道气密性后抽真空并加入R-12氟利昂23.00z,再开机检测是否正常. 该故障一般是因为电源不稳定造成的,因为第一级先启动,故损坏通常都在第一级,这种情况下,一

联通专线切换成移动专线问题故障解决

公司业务需求,把原来的联通线路切换成移动的线路,本来很简单的问题,只要把原来的专线路由器上的联通口拔掉,插上移动线路就行了. 对方反馈插上去路由器网口不亮 经过登陆对方路由器发现端口模式是半双工模式 登录对方路由器 #config #(config)# (config)#interface GIabitEhernet0/0 (config-if)#duplex full wr 问题解决

【疑】checkpoint防火墙双链路切换导致丢包问题

拓扑: 外线联通.电信各200M,通过边界交换机(纯二层,用于分线),分别接到主.备防火墙. 具体配置如下:    原文地址:https://www.cnblogs.com/xinghen1216/p/9522121.html