【木子李】防火墙导致360网盘客户端上传速度变慢
  

李会斌 130942人觉得有帮助

{{ttag.title}}
本帖最后由 李会斌 于 2023-11-9 09:01 编辑

AF路由模式部署导致360网盘客户端上传速度变慢



前提介绍:

       某高校客户内网有一台360网盘服务器,想实现用户可以访问域名的方式进行文件的上传与下载,由于客户原有出口深信服防火墙性能不足的问题,客户想从新采购一台深信服防火墙,实现360网盘业务的正常使用。


客户网络拓扑:

       深信服出口防火墙-核心交换机-深信服WAF-360网盘服务器


本次测试的防火墙为老架构的8048版本

       防火墙配置如下:

(1)AF采用路由模式部署在出口


(2)配置路由


(3)acl因为是测试所以选择any


(4)配置360网盘的映射


(5)安全防护策略为系统默认




测试过程:


为了保障客户上线后正常使用,本次测试都采用基于客户现场实际环境进行测试。

第一次测试:

测试目的:测试防火墙带宽性能是否满足

(1)为了验证防火墙的性能我们也结合用户实际情况,我们通过手机热点访问客户360网盘测试发现速度不是很理想;

(2)经过我们的思考,我们把防火墙设置为虚拟网线模式,直接访问360业务发现速度正常;

(3)客户觉得这么测试性能不符合实际情况,不认可测试效果;

(4)我们协调一个1G带宽的测试环境,经过测试发现360网盘业务,通过客户端与网页端的上传速度不一致;


第一次总结:

(1)协调360网盘人员查看客户端问题;

(2)查看深信服防火墙配置问题;

(3)协调其他厂家防火墙测试。


第二次测试:

(1)协调360网盘人员查看发现客户端没有问题;

(2)替换其他厂家防火墙查看360网盘业务上传下载速度一致;

(3)查看深信服防火墙配置,发现为防火墙安全防护功能问题。

第二次总结:
(1)本次补丁优化策略只能把防火墙对于大文件传输的判断阈值降低;
(2)新架构85R版本可以直接后台改参数,不需要打补丁包;
(3)修改参数不影响业务,但是检测绕过的能力会变弱,这个实在没有其他办法。精检测会消耗性能,这两者比较矛盾;
(4)新架构防火墙有个折中方案具体需要咨询总部。


具体排除细节如下:


(1)开启防火墙直通模式进行测试,发现还是无法解决


(2)协调400排查

经过排查AF有个针对http流量的优化补丁包“KB-AF-20220520-http_file_optimize”我们加固补丁;

(3)再次测试发现还是没有解决问题

(4)我们开启把360网盘开启白名单后发现测试正常

(5)关闭白名单,禁用安全防护策略测试正常,此时分析可能是某个检测机制导致异常;

(6)排查安全防护策略

1、关闭ad_appd进程,上传速度可以上去达到100
2、页面关闭业务防护策略,也可以达到100
3、手动关闭安全策略的业务防护,里面内容安全。业务安全、漏洞攻击,任意单个策略关闭,速度都只能达到50
4、如果把所有的策略都关闭,只开僵尸网络,可以达到100
4、如果开启僵尸网络,再开启内容安全、漏洞攻击、web,任意一个,都只能跑到50


(7)上升问题到研发,并配合研发进行测试;

(8)针对上面的补丁包KB-AF-20220520-http_file_optimize进行配置修改测试;

按照参数调整和测试,基本确认了360网盘客户端会把大文件拆成非常多小于1M的小文件进行传输,这种场景下对cpu的占用很高

(9)修改补丁包KB-AF-20220520-http_file_optimize参数如下:

后台更改的配置,更改后重启ad_appd生效



测试最终效果:

经过调试后最终测试效果比较符合当前客户的实际情况,客户端与网页的速度基本保持一致。

(1)网页端上传文件


(2)客户端上传文件


(3)网页端下载文件


(4)客户端下载文件


(5)客户端多文件下载测试


(6)网页端多文件下载测试

打赏鼓励作者,期待更多好文!

打赏
39人已打赏

沧海一杯水 发表于 2023-11-8 13:37
  
坚持学习,坚持打卡。。。。。。。。。。。。。。。。
新手031815 发表于 2023-11-8 14:08
  


感谢分享有助于工资和学习!
平凡的小网工 发表于 2023-11-8 15:24
  
多谢分享防火墙的排查思路,很详细,有助于工作。
一个无趣的人 发表于 2023-11-8 15:32
  
每天学习一点,天天知识增长一点
新手831996 发表于 2023-11-8 16:10
  



感谢分享有助于工资和学习!
技术小白 发表于 2023-11-8 16:11
  
每天学习一点,天天知识增长一点
Kangaroo 发表于 2023-11-8 16:20
  
多谢分享防火墙的排查思路,很详细,有助于工作。
Kangaroo 发表于 2023-11-8 17:06
  

每天学习一点,天天知识增长一点
winneraaa 发表于 2023-11-8 18:46
  
感谢分享有助于工资和学习!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版热帖

本版达人