웹앱 서버에서 데이터베이스 서버로의 트래픽이 차단되거나 필터링되는 문제가 발생했습니다. 방화벽 규칙을 사용하여 필요한 IP 및 포트에서 인바운드 및 아웃바운드 트래픽을 허용했지만 일부 패킷/연결이 여전히 차단/삭제되고 있습니다.
가장 최근에 발생한 이벤트 로그에는 다음이 표시됩니다.
The Windows Filtering Platform has blocked a packet.
Application Information:
Process ID: 0
Application Name: -
Network Information:
Direction: Inbound
Source Address: redacted-webapp-ip
Source Port: 51888
Destination Address: redacted-database-ip
Destination Port: 1433
Protocol: 6
Filter Information:
Filter Run-Time ID: 72605
Layer Name: Transport
Layer Run-Time ID: 13
출력을 통해 netsh wfp show state드롭을 발생시킨 필터에 대한 다음 정보를 찾을 수 있습니다.
<item>
<filterKey>{ccea04a9-00af-48c8-ba5e-ceba7bfc75ae}</filterKey>
<displayData>
<name>Port Scanning Prevention Filter</name>
<description>This filter prevents port scanning.</description>
</displayData>
<flags/>
<providerKey>{decc16ca-3f33-4346-be1e-8fb4ae0f3d62}</providerKey>
<providerData>
<data>ffffffffffffffff</data>
<asString>........</asString>
</providerData>
<layerKey>FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD</layerKey>
<subLayerKey>{b3cdd441-af90-41ba-a745-7c6008ff2301}</subLayerKey>
<weight>
<type>FWP_UINT8</type>
<uint8>12</uint8>
</weight>
<filterCondition numItems="1">
<item>
<fieldKey>FWPM_CONDITION_FLAGS</fieldKey>
<matchType>FWP_MATCH_FLAGS_NONE_SET</matchType>
<conditionValue>
<type>FWP_UINT32</type>
<uint32>3</uint32>
</conditionValue>
</item>
</filterCondition>
<action>
<type>FWP_ACTION_CALLOUT_TERMINATING</type>
<calloutKey>FWPM_CALLOUT_WFP_TRANSPORT_LAYER_V4_SILENT_DROP</calloutKey>
</action>
<rawContext>0</rawContext>
<reserved/>
<filterId>72605</filterId>
<effectiveWeight>
<type>FWP_UINT64</type>
<uint64>13835058055315718144</uint64>
</effectiveWeight>
</item>
누구든지 이 문제의 원인을 파악하는 데 올바른 방향을 알려줄 수 있습니까? 무엇이 이 필터를 추가했는지/추가했는지 알 수 있는 방법이 있나요?
바이러스 백신 소프트웨어가 설치되어 있지 않았으며 의심스러운 다른 소프트웨어를 찾을 수 없었습니다. "포트 검색 방지 필터" 외에도 "Query User"(유사한 문제 발생)라는 필터도 본 적이 있는데 둘 중 하나의 출처를 추적할 수 없습니다. (이 예 이외의 다른 합법적인 트래픽도 이러한 유형의 필터에 의해 주기적으로 차단됩니다.)