checkpoint 防火墻 Call center專線切換故障及排除

環(huán)境描述：

某國有企業(yè)callcenter系統(tǒng)一中心三平臺結構，現(xiàn)需要在中心服務器集群前增加check point防火墻等安全設備

問題描述：

在check point防火墻割接上線后，隨機抽選部分話務坐席進行測試，信令傳輸、三方呼叫、通話轉移等一切正常，但大部分坐席人員上班后，各種通話故障隨機出現(xiàn)，此時信令傳輸正常。

排查過程：

發(fā)現(xiàn)出現(xiàn)以上問題，立即進行排查。

1、首先登陸smartDashboard查看安全策略

從策略狀態(tài)顯示，在割接測試到故障出現(xiàn)之間的時間段，沒有人為更改相關策略，策略一切正常。

2、其次查看smartlog系統(tǒng)，在log系統(tǒng)中隨機輸入故障話機的IP地址

也沒有發(fā)現(xiàn)drop數(shù)據包信息

3、隨即使用smartview  tracker進一步查看數(shù)據包情況，在過濾條件中添加故障話機IP地址：

查看過濾結果

沒有發(fā)現(xiàn)任何異常信息

4、通過使用命令行在設備接口處進行抓包分析

;[cpu_4];[fw4_1];fw_log_drop_ex: Packetproto=1 219.141.216.254:0 -> 219.141.216.12:0 dropped byfwha_select_ip_packet Reason: icmp probe reply to our request;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packetproto=17 0.0.0.0:8116 -> 219.141.216.12:8116 dropped byfw_handle_first_packet Reason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_5];[fw4_0];fw_log_drop_ex: Packetproto=17 192.168.254.4:137 -> 10.96.21.136:137 dropped byfw_handle_first_packet Reason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packetproto=17 0.0.0.0:8116 -> 219.141.216.12:8116 dropped byfw_handle_first_packet Reason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_4];[fw4_1];fw_log_drop_ex: Packetproto=17 172.23.140.36:51221 -> 10.96.4.249:2055 dropped by fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_4];[fw4_1];fw_log_drop_ex: Packetproto=1 10.96.165.20:0 -> 10.96.165.28:0 dropped by fwha_select_ip_packetReason: icmp probe reply to our request;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packet proto=170.0.0.0:8116 -> 219.141.216.12:8116 dropped by fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by fw_handle_first_packetReason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packetproto=17 0.0.0.0:8116 -> 219.141.216.12:8116 dropped byfw_handle_first_packet Reason: Rulebase drop - rule 629;

;[cpu_2];[fw4_3];fw_log_drop_ex: Packetproto=17 0.0.0.0:8116 -> 10.96.165.28:8116 dropped by fw_handle_first_packetReason: Rulebase drop - rule 629;

也不存在任何和callcenter IP地址相關的drop信息

5、經過以上幾個步驟的檢查，初步排除check point防火墻問題，配合網絡團隊逐臺檢查此次上線的其它設備，終于在核心交換之間的一臺IPS設備上發(fā)現(xiàn)異常狀態(tài)，該IPS設備log顯示，在call center話務出現(xiàn)故障的時間段內該設備遭受DDOS***，丟棄了大量疑似***的UDP數(shù)據包。

6、經過和語音團隊確認，call center在語音通過過程中，正是使用UDP隨機端口進行傳輸，關閉IPS抗DDOS功能之后，話務坐席故障消失，通話回復正常。

原因分析：

原來call center系統(tǒng)在工作時，首先在話機和服務器之間傳輸語音信令，之后話務坐席之間直接通訊，用的是UDP1023-65535隨機端口，在割接測試時，同時工作的話機比較少，此時傳輸正常。當三地坐席人員全部到位后，因為所有的坐席都在同一個網段，UDP數(shù)據包在單位時間內超過了IPS預設的DDOS閥值，所以IPS就把來自cc網段的UDP包判斷為DDOS***丟棄，導致語音數(shù)據包不全，出現(xiàn)了隨機的語音故障。