AF策略拦截常见排查方法
  

sangfor6017 Lv2发表于 2015-3-12 20:30

1.AF接入网络后,开启了相应策略后,出现访问异常。

2.在“系统维护“--”数据包拦截日志与直通”,设置开启条件:如能确定外网测试电脑,就设置外网测试电脑IP;如无法确认外网测试电脑,那就配置服务器IP。
开启直通了,会打出拒绝日志,同时去访问的数据会被策略放通、不被策略拦截。除以下功能:DOS/DDOS防护中的基于数据包攻击和异常数据报文检测、网页防篡改、http与ftp隐藏4个功能外,其余策略拦截数据都会被放通。

3.开启直通后,访问正常后,就看拒绝日志;常见丢包日志:
丢包来源
丢包标记
解释
未知unknown未知情况
proxykvfilter杀毒模块丢包标记
sslssldriverssl协议握手失败,出现在web过滤中https中的业务
wdosdosckdos/ddos防护丢包标记
fluxlogfluxlog连接数控制丢包标记
app controlappcontrol应用控制丢包标记
url filterwebfilterweb 过滤丢包标记
ips center 或 proxyipsips模块丢包标记
proxywafwaf模块丢包标记
proxyproxy抓包模块丢包,常见为ips,waf,apt,杀毒,防篡改模块丢包
aifwaifw防火墙联动丢包标记


4.开启直通后,网站访问正常,则可判断为相应策略做了拒绝。根据丢包模块,找到相应功能模块。开启的策略,开启“审计”,记录被策略拦截的日志信息。

5.去内置数据中心,查看相应模块的拒绝日志信息:跟根据源IP或目的IP判断。查看拒绝的详细信息,是被那条策略的那个规则做的拒绝。

6.找的对应的策略名称与规则后,再进行策略调整。

7.调整完策略后,要关闭直通与拒绝列表。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

晴空 Lv5发表于 2015-3-25 09:27
  
好帖,实用
启信_商猛 Lv6发表于 2015-3-25 10:22
  
Julia 发表于 2015-3-25 11:37
  
三年二班周杰伦 Lv2发表于 2015-3-25 20:43
  
梦石山心 Lv0发表于 2015-6-3 17:40
  
952788 Lv9发表于 2015-6-4 08:20
  
新手211227 Lv0发表于 2015-12-8 12:01
  
深信服工程师帮我排查过了,抓不到数据包
Eina Lv4发表于 2016-1-20 09:35
  
深度好文
史提芬 Lv9发表于 2016-1-22 16:43
  
我擦,今天遇到AF问题,现在才看到此贴。。。。