小德 发表于 2024-9-5 10:44
  
一起来学习,一起来学习
飞飞侠 发表于 2024-9-5 10:45
  
一起来学习,一起来学习
taoyanbin 发表于 2024-9-5 10:48
  
一起来学习,一起来学习
鲤鲤 发表于 2024-9-5 10:53
  
一起来学习,一起来学习
日出 发表于 2024-9-5 10:54
  
一起来学习,一起来学习
小鱼儿 发表于 2024-9-5 10:57
  
一起来学习,一起来学习
小西北 发表于 2024-9-5 10:59
  
一起来学习,一起来学习
【木子李】防火墙导致360网盘客户端上传速度变慢
  

李会斌 129982人觉得有帮助

{{ttag.title}}
本帖最后由 李会斌 于 2023-11-9 09:01 编辑

AF路由模式部署导致360网盘客户端上传速度变慢



前提介绍:

       某高校客户内网有一台360网盘服务器,想实现用户可以访问域名的方式进行文件的上传与下载,由于客户原有出口深信服防火墙性能不足的问题,客户想从新采购一台深信服防火墙,实现360网盘业务的正常使用。


客户网络拓扑:

       深信服出口防火墙-核心交换机-深信服WAF-360网盘服务器


本次测试的防火墙为老架构的8048版本

       防火墙配置如下:

(1)AF采用路由模式部署在出口


(2)配置路由


(3)acl因为是测试所以选择any


(4)配置360网盘的映射


(5)安全防护策略为系统默认




测试过程:


为了保障客户上线后正常使用,本次测试都采用基于客户现场实际环境进行测试。

第一次测试:

测试目的:测试防火墙带宽性能是否满足

(1)为了验证防火墙的性能我们也结合用户实际情况,我们通过手机热点访问客户360网盘测试发现速度不是很理想;

(2)经过我们的思考,我们把防火墙设置为虚拟网线模式,直接访问360业务发现速度正常;

(3)客户觉得这么测试性能不符合实际情况,不认可测试效果;

(4)我们协调一个1G带宽的测试环境,经过测试发现360网盘业务,通过客户端与网页端的上传速度不一致;


第一次总结:

(1)协调360网盘人员查看客户端问题;

(2)查看深信服防火墙配置问题;

(3)协调其他厂家防火墙测试。


第二次测试:

(1)协调360网盘人员查看发现客户端没有问题;

(2)替换其他厂家防火墙查看360网盘业务上传下载速度一致;

(3)查看深信服防火墙配置,发现为防火墙安全防护功能问题。

第二次总结:
(1)本次补丁优化策略只能把防火墙对于大文件传输的判断阈值降低;
(2)新架构85R版本可以直接后台改参数,不需要打补丁包;
(3)修改参数不影响业务,但是检测绕过的能力会变弱,这个实在没有其他办法。精检测会消耗性能,这两者比较矛盾;
(4)新架构防火墙有个折中方案具体需要咨询总部。


具体排除细节如下:


(1)开启防火墙直通模式进行测试,发现还是无法解决


(2)协调400排查

经过排查AF有个针对http流量的优化补丁包“KB-AF-20220520-http_file_optimize”我们加固补丁;

(3)再次测试发现还是没有解决问题

(4)我们开启把360网盘开启白名单后发现测试正常

(5)关闭白名单,禁用安全防护策略测试正常,此时分析可能是某个检测机制导致异常;

(6)排查安全防护策略

1、关闭ad_appd进程,上传速度可以上去达到100
2、页面关闭业务防护策略,也可以达到100
3、手动关闭安全策略的业务防护,里面内容安全。业务安全、漏洞攻击,任意单个策略关闭,速度都只能达到50
4、如果把所有的策略都关闭,只开僵尸网络,可以达到100
4、如果开启僵尸网络,再开启内容安全、漏洞攻击、web,任意一个,都只能跑到50


(7)上升问题到研发,并配合研发进行测试;

(8)针对上面的补丁包KB-AF-20220520-http_file_optimize进行配置修改测试;

按照参数调整和测试,基本确认了360网盘客户端会把大文件拆成非常多小于1M的小文件进行传输,这种场景下对cpu的占用很高

(9)修改补丁包KB-AF-20220520-http_file_optimize参数如下:

后台更改的配置,更改后重启ad_appd生效



测试最终效果:

经过调试后最终测试效果比较符合当前客户的实际情况,客户端与网页的速度基本保持一致。

(1)网页端上传文件


(2)客户端上传文件


(3)网页端下载文件


(4)客户端下载文件


(5)客户端多文件下载测试


(6)网页端多文件下载测试

打赏鼓励作者,期待更多好文!

打赏
39人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版热帖

本版达人