本帖最后由 sangfor2011 于 2017-11-16 15:57 编辑
一、配置指导书 如需了解配置步骤请参考配置指导:
二、问题现象 应用控制不生效,无法拒绝使用指定应用
三、场景排查思维导图
1、场景确认
确认网络环境,版本,规则库是否满足,能否自定义应用解决。
2、版本确认 使用正式版本测试,非正式版本先升级到正式版本。
3、配置要求 正确配置用户认证策略和上网权限控制策略,确保用户能正常匹配策略。
4、排查参考资料 策略适用对象之间的关系:各模块是且的关系,同个模块是或的关系 【用户】下各项之间是或的关系,即本地用户、域用户、域安全组之间是或的关系。 【用户】、【位置】、【终端类型】、【目标区域】之间是且的关系。
【自定义URL】:针对于https的网站,11.9R1之前定义颁发给地址,11.9R1之后定义真实的域名。
【直通和全局排除的区别】: 开启拒绝列表并直通后,仍然生效的功能模块有:nat,邮件过滤,邮件延迟审计,垃圾邮件过滤,网关杀毒(smtp和pop3杀毒),ssl内容识别,透明代理+cache功能,显示代理+cache功能,arp欺骗防护。 全局排除IP后,仍然生效的功能模块有:防火墙规则,防dos攻击模块,准入IM监控,显示代理+cache功能,ARP欺骗。 注意:SG2.1 r1版本之前,开直通后,透明代理+cahce功能及显示代理+cache功能都仍然生效;SG2.1r1版本,开直通后,透明代理+cahce功能不生效,显示代理+cache功能生效。排除IP地址,透明代理+cache不生效,显示代理+cache生效
5、排查思路 第一步:确认网络环境,包括设备的版本信息,部署模式。
第二步:检查用户是否通过认证,即在线用户管理是否查询到该用户,11.0之前如果在线里面有但是是以临时身份上线的,那么除了认证策略配置的是以临时身份上线,其他的情况都是没有通过认证。
第三步:查看用户的策略结果集看是否有匹配策略是否有匹配策略 1、如果没有匹配上策略,检查上网策略配置的适用对象是否有选择用户,各个模块之间是与的关系,同时满足才会匹配,当有域的时候需要注意的是以本地帐号上线还是以域帐号上线的,如果本地已经有一个和域上面相同的帐号且属性是管理员创建,此时如果策略关联给域帐号 不会生效。 注意:适用对象的终端类型,建议用默认 2、已经匹配上,那么检查是允许的策略没有生效还是拒绝的策略没有生效。
第四步:应用能否正常识别 1、检查应用流量排名和用户流量排名中识别到的应用是否正确。 2、检查连接监控是否能够识别到用户正在使用该应用。 3、检查是否存在自定义应用导致匹配不到正确的应用名,禁用自定义应用后重新测试是否可以正常识别并控制,如果识别不到应用则抓包分析数据特征。 注意:如果不确定正常识别为什么应用名,可以使用虚拟机进行测试。
第五步:允许的策略没有生效 直通和全局排除测试看是否可以,如果可以了,那么根据直通的日志或者是数据中心的日志调整策略,如果不能将整个类型允许,那么就通过做自定义的url或者应用来做; 直通和全局排除只有一个可以,那边比较直通和全局排除的区别然后再调整日志。 直通和全局排除都不行,网桥模式下建议单独绕开设备测试;路由模式下则可以直连设备或者外网线路测试。
第六步:拒绝的策略没有生效 检查是否有针对测试用户开启了上网故障排除的操作。 全局排除里面是否有把测试的用户ip或者网段或者域名排除掉。 如果以上都没有,查看上网行为监控或者数据中心的日志,通过自定义的url或者应用来拒绝看看。 规则库升级到最新。
四、信息获取 转400请提供如下信息 当前网络环境: 设备是否可升级: 规则库是否最新: 是否不支持场景: 是否打补丁包(Appversion可选):
五、维护说明 如对本场景使用有建议或疑问可以进行回贴反馈,我们会及时进行优化或答疑。 | 
发表于 2017-11-16 15:49
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
