利用网络分析解决业务系统应用故障-防火墙解决方案.doc
利用网络分析解决业务系统应用故障 -防火墙解决方案 网络现状 某高新区房产局最近推出上线一套在线业务信息系统,该房产办证业务系统为 C/S 架构,客户端需要向服务器上传办证相关的数据和图片。主要是用于在线办理各种房产相关证件,其办理业务的客户端一般分布在各个区县房产办证大厅或行政服务中心。 该高新区房产局办证业务系统网络部署情况如下:首先办公机器通过管委会的政务专网出口与市房产局的业务服务器进行数据交互,而业务客户端通过防火墙 NAT 访问业务服务器。业务服务器的真实地址为 192.168.10.41,但是其通过防火墙的地址映射功能映射成 10.XXX.168.197 供业务客户端访问。 图片 1(某高新区房产办证业务系统运行的网络部署图); 故障现象 最近该房产系统出现以下故障问题:业务客户端连接业务服务器正常,但在进行 图片上传时,出现“无法连接到服务器”的提示,无法完成图片上传。 故障分析 因为是业务系统故障,非一般的网络故障,而且使用者并不了解业务系统的网络行为特征,因此,除了捕获数据包对业务系统进行分析之外,似乎没有其他更好的方法了。 首先,我们在任意客户端机器上安装科来网络通讯分析系统,开启对数据包的捕获,然后运行房产办证业务软件。通过科来网络通讯分析系统的“数据包”视图可以观察到,房产办证业务软件运行后,便与房产业务服务器10.12.168.197 的 1521 端口建立连接并传输响应的数据。 但是当我们使用办证业务系统准备上传相关图片文件时,通过科来网络通讯分析系统的“数据包”视图发现:客户端尝试与 192.168.10.41 建立 FTP 连接,并且有 icmp 超时差错报文产生。 图片 2; 根据这个现象,我们推测房产办证业务系统是通过 FTP 来上传图片,但是该也许系统的客户端应该与 10.XXX.168.197 建立连接,而不是与服务器的真实地址 192.168.10.41 建立连接。 既然客户端在上传图片时是尝试与服务器的真实地址建立 FTP 连接,那么客户端业务系统这边肯定存在一个可以设置 FTP 连接地址的地方。我们在业务软件的界面中未发现相应的设置点,于是便打开业务 软件的安装目录,在其安装目录先发现了一个名为 house 的初始化文件。 图片 3; 我们将其改为 10.12.168.197 并保存,然后将业务软件重启,并尝试向业务服