引言： 笔者单位业务系统利用“前置机”与合作单位进行数据交换，在前置机上安装数据库软件，建立合作单位数据库。某日，由于前置机遭受攻击，导致防火墙出现故障。本文介绍故障的排查过程。

目前，各单位业务系统普遍存在利用“前置机”与合作单位进行数据交换。随着前置机应用范围不断扩大，安全问题不容忽视。

前置机顾明思议，就是两个网络系统的中间设备。笔者单位就是利用前置机模式来获取合作单位数据。各合作单位通过互联网访问前置机。

笔者单位在机房部署一台前置机，并在前置机上安装数据库软件，建立合作单位数据库。合作单位通过jdbc、odbc或者.net数据库连接驱动器向前置机上各自的数据库写入数据，笔者单位在通过内部系统从前置机上抓取数据。网路拓扑如图1所示。

故障现象

图1 网络拓扑图

一日，笔者在对前置机上联防火墙更新证书后，发现防火墙CPU利用率达到100%。仔细查看防火墙配置，并没有特别多业务。再查看各接口流量和连接数，也都第二天发现防火墙CPU利用率又达到了100%。按照网络结构分段排查，从前置机开始查找原因，先断开前置机网络，发现防火墙CPU利用率下降到0%。怀疑前置机中病毒或存在其他问题。经过对前置机全盘杀毒后，发现前置机存在木马，查杀后，前置机接回网络，防火墙状态恢复正常。在正常范围内，考虑可能是刚安装完证书的原因，果断重启防火墙。重启后，防火墙CPU利用率为1%。初步断定，是更新防火墙证书造成的。过了一天，在笔者进行网络巡查时，发现前置机防火墙CPU利用率又达到了100%。重启防火墙，CPU利用率恢复到1%。笔者认为可能问题并不完全是更新证书的问题，可能存在外部攻击。

故障排查

登录防火墙，查看了各接口安全配置，发现所有接口都没有启动防攻击设置，笔者启动各接口防攻击策略。

经验总结

经过此次故障，笔者采用定期查杀前置机病毒，定期查看系统日志，增加前置机安全防范措施等措施。对于存在使用前置机的单位，除了为网络增加防火墙安全设备外，也要充分利用防火墙安全策略，避免前置机完全暴露在互联网中，也要增加前置机本身的安全防范，例如开启日志记录功能、安装杀毒软件、安全防火墙软件。规范前置机使用规则，避免随意使用。