防火墙误拦合法流量如何排查？

一、问题现象与初步判断

某企业业务系统突然出现间歇性连接超时，用户反馈无法访问关键应用。经网络层排查，确认物理链路正常、服务器运行稳定、无宕机或高负载现象。进一步抓包分析发现，客户端发出的TCP SYN请求后未收到SYN-ACK响应，取而代之的是来自防火墙的TCP RST或日志中记录为“DROP”的行为。

值得注意的是，触发阻断的源IP均为已授权客户端，目的端口（如443、8080）也在安全策略允许范围内，初步排除了网络中断和主机故障的可能性。此时应重点怀疑防火墙误判合法流量为攻击行为，导致主动干预通信过程。

二、排查路径设计：由浅入深的三层定位模型

为高效定位问题根源，构建如下三层递进式排查框架：

1. 第一层：会话表状态验证 —— 检查流量是否成功建立会话
2. 第二层：日志与策略匹配顺序分析 —— 定位具体拦截规则及匹配路径
3. 第三层：深度机制溯源 —— 区分是规则配置错误、状态检测异常还是IPS特征库误报

三、第一层排查：通过会话表确认流量通行状态

现代防火墙采用状态化检测机制，所有合法通信必须在会话表（Session Table）中创建条目。若流量被丢弃，通常不会生成有效会话。

执行命令查看实时会话（以华为USG为例）：

display firewall session table source  destination 

若返回为空或显示“denied”、“reset”，则说明流量未通过策略检查或被主动终止。

四、第二层排查：日志分析与策略匹配顺序追溯

防火墙日志是判断拦截原因的核心依据。需重点关注以下字段：

• Rule ID：实际匹配的策略编号
• Action：执行动作为“deny”或“reset”
• Reason：如“ips-drop”、“syn-flood-detected”等
• Time Pattern：是否呈现周期性或突发性

示例日志片段：

2025-04-05 10:23:11 DROP TCP src=192.168.10.100:54321 dst=10.0.2.5:443 reason=ips-anomaly-syn-rate rule=105
2025-04-05 10:23:12 RST  TCP src=192.168.10.100:54322 dst=10.0.2.5:443 reason=state-invalid rule=0(default-deny)

结合策略列表输出（display firewall policy configuration），验证是否存在以下情况：

1. 显式放行策略位于隐式拒绝之前？
2. 是否存在更高优先级的deny规则覆盖了allow？
3. 策略范围是否精确（如子网掩码错误）？

五、第三层排查：机制层面归因分析

当确认流量被拦截且策略本身无明显错误时，需深入机制层级进行归因。使用Mermaid流程图展示决策路径：

graph TD
    A[流量被DROP/RST] --> B{是否有IPS/IDS日志?}
    B -- 是 --> C[检查IPS特征名称
e.g., 'HTTP.POST.Injection']
    C --> D{特征库是否过于激进?}
    D -- 是 --> E[临时关闭该特征或调高阈值]
    B -- 否 --> F{是否频繁新建SYN连接?}
    F -- 是 --> G[可能是SYN Flood防护误判]
    G --> H[调整TCP Proxy或半开连接阈值]
    F -- 否 --> I[检查状态机一致性]
    I --> J[是否存在分片包、TTL异常等?]

六、典型成因分类与应对策略

根据多年运维经验，归纳三大类常见误拦原因及其识别特征：