深信服社区»版块 安全类 行为管理AC 策略做拒绝所有还是可以上网

策略做拒绝所有还是可以上网

查看数: 5109 | 评论数: 26 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2024-9-11 16:03

正文摘要:

策略做拒绝所有还是可以上网

回复

牵网线的 发表于 2024-9-11 23:27
此排查思路适用于以下场景:
1、自定义URL库,权限策略设置拒绝自定义URL库,但是终端用户还是可以访问
2、权限策略设置拒绝内置URL库某个类别,但是终端用户还是可以访问

可能原因
第三方产品&环境问题
1、数据访问没有经过设备//可通过连接监控查看故障IP对应的连接情况,如无连接,则表示数据不经过设备
2、测试终端存在双网卡等情况导致上网流量不经过设备//可禁用其中一张网卡,确保流量经过设备
3、浏览器或应用存在缓存导致//可更换其他浏览器或清除缓存测试
4、内网出现大流量导致设备PPS超限,导致设备策略失效//设备PPS超限会有告警

功能配置问题
1、权限策略匹配错误(如适用对象、目标IP、应用规则等不一致)
2、匹配到全局排除或数据直通
3、配置了自定义应用或自定义URL导致匹配错误
4、内网存在NAT源地址转换,导致流量经过设备时IP或用户名和拒绝策略中的适用对象信息不一致,导致策略不生效
5、未配置SSL解密策略,导致策略不生效(可以通过开启SSL全解密测试验证)
6、SSL解密策略未生效//可安装SSL内容识别根证书测试

软件功能问题
1、应用规则识别或匹配错误

排查思路
1、确认现象:浏览器访问网站流量是否经过设备,浏览器是否配置了代理,PC上是否有代理软件劫持流量
2、检查用户对应IP是否已经上线,权限策略设置是否正确,在在线用户列表根据IP地址过滤,查看策略结果集
3、连接监控、故障排障确认网站流量匹配是否正常,具体匹配的是什么规则
4、检查URL定义是否正确,是否有自定义应用干扰
5、配置拒绝所有URL策略,验证是否还可以正常访问
6、检查全局排除或直通设置,检查规则库版本是否最新
7、针对测试用户配置拒绝全部的策略,验证能否拒绝
8、打防火墙调试并抓包分析具体原因
9、详细排查步骤,建议参考链接:点击这里
梦境人生 发表于 2024-9-12 14:48
在线用户是否有这个IP呢?流量没过AC设备吧
朱墩2 发表于 2024-9-12 14:40
开直通看看具体匹配到那个模块了吧  或者就是流量没过AC这边了吧
gyxww 发表于 2024-9-12 11:51
看下有没有加加全局排除或直通
taoyb 发表于 2024-9-12 11:17
看看防火墙的过滤规则吧
蔺嘉宾 发表于 2024-9-12 11:11
把这个IP加黑名单了试一下看看吧
Men_chou 发表于 2024-9-12 10:48
用AC的防火墙规则禁止上网,如果还不行估计这个IP被加入全局排除地址或者直通了
广龙ㅤ 发表于 2024-9-12 10:20
AC有终端使用edge、谷歌浏览器新版本(118以上版本)出现网站无法管控,策略不生效的现
象,需要打补丁,试一下老版的浏览器或者其它浏览器看看策略有没有生效,如果其它浏览器拦截是生效的,就是AC要打个补丁
婷姐小球球 发表于 2024-9-12 09:18
一起来学习一起来学习
鲤鲤 发表于 2024-9-12 09:17
开直通看一下有没有匹配到规则什么的吧