排错分享---应用控制策略拒绝之后微软以及毒霸依旧在更新

今天接到一个故障报告，问题为配置禁止上网策略不生效，开启排障之路

首先给客户联系，询问大概情况，对话内容

我：您好，请问是胡先生吗？

胡：是的，你是？

我：胡先生您好，我是某公司江苏技术服务中心，售后工程师xxx，您那边有台行为管理有点问题是吗？

胡：AC我已经搞好了，但是现在AF上还有点问题。

我：可以说下大概的问题吗？

胡：就是我再AF上做了应用控制策略，禁止了103段的地址上网，但是现在微软以及毒霸还在进行软件更新，我不知道问题出在哪里？

我：好的，胡先生，请问您的环境是AF放在出口，AC网桥，然后在AF上做了应用控制策略但是没有生效是吗？

胡：不，我在AF上还有一台AD，AF是在AD下面。

我：好的，我这边大概了解了您的网络拓扑以及故障现象，胡先生您看我能否加您的qq远程看下配置呢？

胡：好的，我的qq是。。。。。。

以上为第一次打电话，大概了解了客户的网络拓扑以及故障现象，根据了解到的信息画出大致的拓扑，如下

客户是在AF上做的应用控制策略，远程上去之后先看配置

根据配置来看，103这个段只是允许了DNS，其他的都匹配上的是默认策略拒绝的，那么为什么不生效呢，

1、首先看下设备是否开了直通

没开，第二步

2、看配置是否正确

不管是AC还是AF策略不生效，首先看下配置是否正确，使用对象是否正确

    当然，人家胡工既然能把环境说的那么清晰，还能把这个拓扑给搞出来，那吗配置99.99%是没问题的了，但是作为一位远程支持的工程师，还是要亲自看下的，结果当然是配置没问题啦，选择的应用就真的只有一个DNS，匹配上的用户确实也是103这个地址段，接着第三步；

3、看规则库是否更新

  第二步也是AC  AF通用的，规则库是否为最新，这步忘记截图了，不过确实是最新的

4、是否放到全局排除

我们知道，放到白名单的地址都是不审不控的，来看看AF的内置白名单有哪些吧，

好家伙，找到了吧，原来在白名单躺着呢，直接选中，点击后面的绿色的对号禁止就好啦。

至此，故障解决。。。。。。

提醒：一般像这种问题，控制策略不生效的，排障的时候按照步骤来，几乎都可以排出来的。

好家伙，找出来了，问题在这里。

这白名单，还真会把给忘了。

厉害，这个白名单确实容易忽略。

学习，get

就服你的拓扑图

这家伙，厉害

学习学习，图画的不错

学习学习，图画的不错

:不是吧:给力 学到了