我遇到了从Web应用服务器到数据库服务器被阻塞或过滤的stream量问题。 我使用防火墙规则允许入站和出站stream量在所需的IP和端口上,但有些数据包/连接仍然被阻止/丢弃。
在我看到的最新事件的事件日志中:
The Windows Filtering Platform has blocked a packet. Application Information: Process ID: 0 Application Name: - Network Information: Direction: Inbound Source Address: redacted-webapp-ip Source Port: 51888 Destination Address: redacted-database-ip Destination Port: 1433 Protocol: 6 Filter Information: Filter Run-Time ID: 72605 Layer Name: Transport Layer Run-Time ID: 13 使用netsh wfp show state的输出,我可以find有关导致丢弃的filter的信息:
<item> <filterKey>{ccea04a9-00af-48c8-ba5e-ceba7bfc75ae}</filterKey> <displayData> <name>Port Scanning Prevention Filter</name> <description>This filter prevents port scanning.</description> </displayData> <flags/> <providerKey>{decc16ca-3f33-4346-be1e-8fb4ae0f3d62}</providerKey> <providerData> <data>ffffffffffffffff</data> <asString>........</asString> </providerData> <layerKey>FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD</layerKey> <subLayerKey>{b3cdd441-af90-41ba-a745-7c6008ff2301}</subLayerKey> <weight> <type>FWP_UINT8</type> <uint8>12</uint8> </weight> <filterCondition numItems="1"> <item> <fieldKey>FWPM_CONDITION_FLAGS</fieldKey> <matchType>FWP_MATCH_FLAGS_NONE_SET</matchType> <conditionValue> <type>FWP_UINT32</type> <uint32>3</uint32> </conditionValue> </item> </filterCondition> <action> <type>FWP_ACTION_CALLOUT_TERMINATING</type> <calloutKey>FWPM_CALLOUT_WFP_TRANSPORT_LAYER_V4_SILENT_DROP</calloutKey> </action> <rawContext>0</rawContext> <reserved/> <filterId>72605</filterId> <effectiveWeight> <type>FWP_UINT64</type> <uint64>13835058055315718144</uint64> </effectiveWeight> </item>
任何人都可以指出我正确的方向来确定这个原因吗? 任何方式来告诉什么是添加/已添加此filter?
没有安装防病毒软件,我找不到任何其他可疑的软件。 除了“端口扫描防护filter”,我也看到一个名为“查询用户”(导致类似的问题),我不能追查任何一方的起源。 (此例外的其他合法stream量也会被这些types的filter定期阻止。)