AC设备发现有个网站www.tom.com封堵不了。

问题描述：AC设备，客户做策略禁止用户上所有网站，但是发现有个网站www.tom.com封堵不了.

客户拓扑：防火墙--AC（网桥）--交换机

排查步骤：

1、检查上网权限策略和适用用户是否配置正确，发现没问题              

2、检查全局排除地址有没有这个网站、有没有这个网站解析出来的公网ip、有没有测试的这个电脑的内网ip地址，发现  也 没有               

3、检查有无开直通，发现也没有开。  

               

4、检查规则库，都是最新版本的。            

5、使用另外一台AC，禁止所有URL，发现可以封堵这个网站的。说明规则库没问题，问题还出在客户的AC上。

               

6、联系400，他怀疑访问这个网站没有走AC，但是抓包发现是走AC的，而且客户那边就一个出口，用户也没有使用什么代理进行上网。后来也仔细检查全局排除里面的ip地址和域名，发现排除的域名还蛮多的。在经过客户允许的情况下，我们将全局排除里面的地址勾选后全部禁用，发现可以正常封堵那个网站。由此判断，肯定是全局排除里面的网站解析出来的公网ip和那个无法封堵的那个网站解析出来的公网ip是一样的。由于全局排除里面的域名很多，因此采用一半半禁用全局排除里面的域名的方式来一步步缩小访问，最后定位到金山毒霸的一个域名，解析后发现果然和那个网站解析的公网ip是一样的。由此，找到问题所在。写到这里，我也是醉了。。。这种事情都能遇到，客户应该去买菜票啦，然后中大奖了分我一半可好？

解决方法：客户说金山毒霸不用了，可以将这个域名从全局排除删掉。至此，问题告一段落。感谢2160协助排查。

赞一个！

是不是DNS服务器有bug，不同的域名解析成同一个IP地址了？

分享的太好了，辛苦啦

闫大神儿

闫姐威武啊，二分法都来了

闫姐厉害

小闫是越来月牛逼 啊，点个赞