1、
配置错误:检查黑白名单配置情况是否正确,配置的是域名形式还是IP形式;添加放行或者封堵名单,没有源目的区分,只有是匹配对应IP就会进行放行或者是封堵动作,配置路径如下:
AF8.0.35及以上版本:【安全运营】-【黑白名单】
AF7.4-AF8.0.32:【策略】-【黑白名单】
AF7.4以下版本:【系统】-【全局放行与封堵】
2、配置的是域名类型的黑名单,内网电脑DNS解析的流量或访问IP地址流量不过AF导致,:确认AF部署模式以及网络拓扑情况,初步判断流量是否经过AF,AF上抓包确认流量是否经过设备,可以通过以下方式确定:
抓包取证工具抓取数据包分析
以标准版本AF8.0.17-AF8.0.69版本操作路径示例:在【系统】-【排障】-【分析工具】-【抓包工具】
②、以标准版本AF7.4-AF8.0.13版本操作路径示例:在【系统】-【排障】-【抓包取证】 配置抓包选项
③、以标准版本AF7.3版本操作路径示例:在【系统维护】-【抓包取证】
配置抓包选项,填写对应的抓包参数:要抓包的网口、指定的IP地址、对应的端口,点击开始抓包,抓到包后,下载到本地电脑用wireshark打开分析
PS:【抓包取证】从AF6.8版本以后才开始支持
在【系统】-【排障】-【分析工具】-【命令行控制台】是用tcpdump命令抓包分析,确认流量是否有经过AF;
AF8.0.17级以上版本,在【系统】-【排障】-【故障排查】对添加的IP进行定向数据流分析,查看产生的定向数据流分析日志,确认流量是否经过AF;
3、检查地址是否同时存在于白名单和黑名单,导致黑名单不生效:地址同时存在于白名单和黑名单,白名单优先,白名单中域名解析得到的ip地址添加到黑名单,也会不生效,可以和客户沟通临时禁用白名单中的域名地址测试;
注意告知客户禁用白名单之后,相关流量会匹配策略,若有匹配上拒绝策略会被拦截
4、检查设备是否有开启直通:设备处于直通状态下黑名单不生效,可以在以下路径查看设备直通状态,关闭直通
①以标准版本AF8.0.17-AF8.0.69版本操作路径示例:【系统】-【排障】-【故障排查】
②以标准版本AF7.4-8.0.13版本操作路径示例:【系统】-【排障】-【数据包拦截日志与直通】
③以标准版本AF7.3版本操作路径示例:【系统维护】-【数据包拦截日志与直通】
6、配置下发失败:在【系统】-【排障】-【系统故障日志】检查确认是否有相关报错日志或告警日志;
8、检查【系统】-【通用设置】-【网络参数】-【高级配置】是否勾选开启,该配置可能导致黑白名单不生效。
