可能原因 第三方产品&环境问题 1、数据访问没有经过设备//可通过连接监控查看故障IP对应的连接情况,如无连接,则表示数据不经过设备 2、测试终端存在双网卡等情况导致上网流量不经过设备//可禁用其中一张网卡,确保流量经过设备 3、浏览器或应用存在缓存导致//可更换其他浏览器或清除缓存测试 4、内网出现大流量导致设备PPS超限,导致设备策略失效//设备PPS超限会有告警
功能配置问题 1、权限策略匹配错误(如适用对象、目标IP、应用规则等不一致) 2、匹配到全局排除或数据直通 3、配置了自定义应用或自定义URL导致匹配错误 4、内网存在NAT源地址转换,导致流量经过设备时IP或用户名和拒绝策略中的适用对象信息不一致,导致策略不生效 5、未配置SSL解密策略,导致策略不生效(可以通过开启SSL全解密测试验证) 6、SSL解密策略未生效//可安装SSL内容识别根证书测试
软件功能问题 1、应用规则识别或匹配错误
排查思路 1、确认现象:浏览器访问网站流量是否经过设备,浏览器是否配置了代理,PC上是否有代理软件劫持流量 2、检查用户对应IP是否已经上线,权限策略设置是否正确,在在线用户列表根据IP地址过滤,查看策略结果集 3、连接监控、故障排障确认网站流量匹配是否正常,具体匹配的是什么规则 4、检查URL定义是否正确,是否有自定义应用干扰 5、配置拒绝所有URL策略,验证是否还可以正常访问 6、检查全局排除或直通设置,检查规则库版本是否最新 7、针对测试用户配置拒绝全部的策略,验证能否拒绝 8、打防火墙调试并抓包分析具体原因 |