1、使用【排障】-【分析工具】-【抓包工具】进行抓包,确认内网数据有到达防火墙内网口:
![]()
或者可以在命令行界面抓包查看内网上网数据是否到达过防火墙,抓包命令如下:
tcpdump -i ethx host IP and port 端口 -nn -c 数量
2、确认对应策略是否有匹配数目,有匹配数目说明有进行匹配(这里以标准版本AF8.0.35为例,以下同理)
![]()
进行策略模拟匹配,确认是否可以匹配上对应策略(这里应用控制策略源区域和目的区域需要包含二层对二层、三层对三层,源区域二层、目的区域三层是不可以的)![]()
![]()
![]()
3、防火墙承担三层路由转发环境下,进行路由测试,确认源目区域
4、开启直通日志功能,根据直通日志确认源目区域,确认是否有其他的策略拦截或放通数据
5、确认应用控制的源目的区域、源目的网络对象、服务对象、生效时间是否配置正确。
6、检查应用控制策略是否勾选开启“长连接”,勾选后会话会长时间保持,会话未断开前导致后续修改策略或新增相关策略无法匹配
7、如果引用的网络对象为用户或用户组,检查用户认证状态用户是否正常上线
8、检查是否为应用控制策略涉及到是否为防火墙映射服务,检查是否开启“后台放通acl”功能
![]()
9、检查在相关基于服务的策略是否存在配置基于应用的策略,配置了基于应用的策略,会放行前面部分初始流量便于后续的应用识别,如配置基于远程登录的应用策略,当使用远程桌面连接时,出现测试端口可以通的现象。
10、检查是否配置二次穿透功能,如匹配上该策略,应用控制策略不生效
发表于 2023-8-2 21:29
