事情经过

今天早上业务部门反馈，公网映射访问不能使用了。

防火墙检查

第一反应，是防火墙的问题，内网其他业务都正常。WEB方式登录防火墙，异常的慢，过了一会能登录上去了，页面一直报错，不能正常操作。先重启了防火墙，映射可以正常使用了，大概等了十几分钟登录页面还是报错。公司使用的防火墙是深信服的AF1000-B400 软件版本8.0.5。登录了几次都是报错，关了报错等了一会系统面板算是有信息显示了，此时看着硬件资源都还算正常，只要一操作就报错。无奈只能重启防火墙，设置SSH登录去排查一下问题。
报错界面：

SSH登录查看问题

1.打开网络–接口区域–区域–LAN

2.LAN口设置SSH，勾选SSH–提交

3.打开超级终端软件登录防火墙，防火墙端口为22345

4.用户密码登录，admin，密码为自己的密码＋sangfornetwork，例如：admin@123FFsangfornetwork，这就是登录ssh的密码

5.登录成功

6.查看cpu负载运行情况
命令：pro_cpu_use
其中indle的值是0，代表这CPU已经被耗尽，处理不过来业务了。初步分析是大流量占用。

7.端口抓包到指定目录下
命令：tcpdump -i eth3 -nnv -c 300000 -w /fwlog/3.pcap
对接口eht2 （LAN）抓取

8.使用sftp等工具或是命令将抓取的包下载到本地，使用wireshark，分析流量，打开wireshark —统计–IPv4 statistics — All Addresses

9.等待加载完成，将cuont进行降序。此时我们可以看到流量最高的IP，通过交换机AC等系统可以找到详细的机器位置来排查，什么程序在跑大流量

10.找到该设备将其停掉后，等待几分钟，web界面不在报错，再次查看资源使用情况，运行正常了。