深信服社区»版块 安全类 下一代防火墙NGAF 怎么查找代理源地址

怎么查找代理源地址

查看数: 3481 | 评论数: 29 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2025-1-8 18:09

正文摘要:

大佬们 AF检测到有人通过代理访问p站,但是日志只有拒绝代理的地址,没有内网地址,日志也找不到,怎么排查。

回复

新手103738 发表于 2025-2-5 16:38
我也想问这个问题,等大佬们解答一下。
最浪漫 发表于 2025-2-5 09:45
在WAF模块中配置XFF功能试试
dhf 发表于 2025-2-4 17:44
提示: 作者被禁止或删除 内容自动屏蔽
飞飞侠 发表于 2025-1-11 13:17
我也想问这个问题,等大佬们解答一下。
小小胖吃不胖 发表于 2025-1-11 13:11

检查 AF 设备配置
确认日志记录设置:登录 AF 设备管理界面,检查安全策略中的日志记录配置,确保已正确设置记录内网地址和详细访问信息的选项。有可能当前的配置只记录了代理地址而遗漏了内网地址,需要对配置进行调整和完善。
查看策略匹配情况:仔细查看与该访问事件相关的安全策略,确认是否存在特定的策略导致只记录代理地址而未记录内网地址。例如,某些策略可能只针对代理服务器进行了限制和记录,而没有涵盖对客户端内网地址的记录。
蔺嘉宾 发表于 2025-1-11 13:05
使用网络扫描工具:在许可的情况下,利用网络扫描工具对整个内网进行扫描,查找可能存在异常的设备和开放的代理服务端口等。通过扫描可以发现一些潜在的安全隐患和未经授权的代理服务器,从而进一步排查访问来源。
部署网络监测系统:考虑部署专门的网络监测系统,实时监测网络中的流量和访问行为,及时发现并预警异常的访问活动,包括通过代理访问受限网站的行为。这样在未来遇到类似问题时,可以更快速地定位和解决。
咸鱼忘星空 发表于 2025-1-11 00:38
挂了代理也能找到吗?
旺旺薛饼 发表于 2025-1-10 10:18
首先确认用户是否确实使用了代理进行访问。可以通过查看用户访问记录、询问用户或检查网络流量等方式进行确认。
然后梳理网络拓扑结构,确认数据流量是否确实经过了深信服AF防火墙。可以使用抓包工具进行数据抓包,以验证数据是否匹配到策略。
山与海 发表于 2025-1-10 09:29
这种情况应该查不到源地址,对方代理设备不会把源地址传递过来的