我遇到了從 Web 應用程式伺服器到資料庫伺服器的流量被阻止或過濾的問題。我已使用防火牆規則允許所需 IP 和連接埠上的入站和出站流量,但某些資料包/連線仍被封鎖/丟棄。
在最近發生的事件日誌中,我看到:
The Windows Filtering Platform has blocked a packet.
Application Information:
Process ID: 0
Application Name: -
Network Information:
Direction: Inbound
Source Address: redacted-webapp-ip
Source Port: 51888
Destination Address: redacted-database-ip
Destination Port: 1433
Protocol: 6
Filter Information:
Filter Run-Time ID: 72605
Layer Name: Transport
Layer Run-Time ID: 13
透過輸出,netsh wfp show state我可以找到有關導致丟棄的過濾器的資訊:
<item>
<filterKey>{ccea04a9-00af-48c8-ba5e-ceba7bfc75ae}</filterKey>
<displayData>
<name>Port Scanning Prevention Filter</name>
<description>This filter prevents port scanning.</description>
</displayData>
<flags/>
<providerKey>{decc16ca-3f33-4346-be1e-8fb4ae0f3d62}</providerKey>
<providerData>
<data>ffffffffffffffff</data>
<asString>........</asString>
</providerData>
<layerKey>FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD</layerKey>
<subLayerKey>{b3cdd441-af90-41ba-a745-7c6008ff2301}</subLayerKey>
<weight>
<type>FWP_UINT8</type>
<uint8>12</uint8>
</weight>
<filterCondition numItems="1">
<item>
<fieldKey>FWPM_CONDITION_FLAGS</fieldKey>
<matchType>FWP_MATCH_FLAGS_NONE_SET</matchType>
<conditionValue>
<type>FWP_UINT32</type>
<uint32>3</uint32>
</conditionValue>
</item>
</filterCondition>
<action>
<type>FWP_ACTION_CALLOUT_TERMINATING</type>
<calloutKey>FWPM_CALLOUT_WFP_TRANSPORT_LAYER_V4_SILENT_DROP</calloutKey>
</action>
<rawContext>0</rawContext>
<reserved/>
<filterId>72605</filterId>
<effectiveWeight>
<type>FWP_UINT64</type>
<uint64>13835058055315718144</uint64>
</effectiveWeight>
</item>
誰能指出我確定原因的正確方向?有什麼方法可以知道什麼正在添加/已添加此過濾器?
沒有安裝防毒軟體,我也找不到其他看起來可疑的軟體。除了「連接埠掃描預防過濾器」之外,我還看到了一個名為「查詢用戶」的過濾器(導致類似的問題),我無法追蹤其中任何一個的來源。 (此範例以外的其他合法流量也會定期被這些類型的過濾器封鎖。)