问题描述

某金融机构防火墙安全运维人员根据开发人员需求开通了一个目标端口是tcp 2000的 络权限，当天telnet测试成功。但是过几天开发人员反馈，地市机构他页面无法打开，但是可以telnet通。并将结果截图反馈回来，为分析清楚问题，求助于 络抓包人员进行分析。

分析结论与解决方案

本案例中，由于客户端和服务器之间经过多道防火墙、防火墙、交换机、路由器和负载均衡，通过科来回溯分析系统进行多点部署回溯抓包对比分析，获取基础数据包文件。进一步采用TTL进行对比分析，发现路由跳数之间的不同点，可以发现为防火墙ALG将TCP 2000数据包丢弃。
根据以上分析，由于防火墙ALG功能，将TCP 2000强制为七层，导致访问异常。解决的方法固然有两种：一是关闭防火墙SCCP ALG功能，二是更换负载均衡服务端口。方法一中由于涉及到多道防火墙，而且不确定将来SCCP是否需要在 络中传输，所以采用第二种方法，即更换F5服务端口。