本帖最后由 adds 于 2020-7-31 14:28 编辑
故障现象:客户反馈在内网无法登录设备控制台,直连设备的Manage口也无法登录。
一、排查 1、情况了解 一开始客户反馈反馈在公网无法访问该防火墙,于是来到单位内网排查,发现在内网也无法登录到防火墙。
2、电话排查 a.直连设备。 先让客户直连设备的Manage口,电脑配置10.251.251.X/24网段的IP地址,访问10.251.251.251也无法访问,PC可以ping通该地址。 b.测试443端口 在DOS下使用telnet 10.251.251.251 443命令,发现端口不通。 c.指示灯观察 设备的前面板的Alarm灯正常闪烁。 d.WEB服务异常 重启设备依旧有此问题。
3、现场排查 初步排查,判断问题有可能是WEB服务挂掉或端口更改过。 a.使用scanport端口扫描工具进行扫描
先排除设备自身使用的服务端口。 路径:【对象】--【服务】--【预定义服务】--【本地服务】
再判断哪些端口可能是服务端口,如果找不到,就依次尝试。 最后判断端口是43430。
二、验证
三、其他注意事项 1、AF的DNS代理服务监听TCP 53、UPD 53端口,Web服务监听TCP 800端口。 2、防火墙关闭自身端口 a.做目的地址转换映射到内网一个不存在的IP地址 b.8.0.2及以上版本,可以做本机访问控制,限制外网访问AF设备自身的端口 c.85是AF设备内置数据中心使用的端口,9000是AF设备网页防篡改2.0使用的端口 3、AF可以针对不同接口下发不同IP 【网络】-【高级网络设置】-【DHCP】可针对不同的接口下发不同网段的IP。 4、AF 8.0.23及以上版本支持Linux系统拨入SSL VPN。 5、AF可以限制内网的用户去使用QQ聊天 6、NGAF的默认应用控制策略是全拒绝策略,多个VLAN间数据默认是无法互访的 7、AF配置DHCP中继 【网络】-【高级网络配置】-【DHCP】-【DHCP中继】,启用DHCP中继,选择对应DHCP服务器的接口,配置DHCP服务器的地址。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-7-31 21:16
技术专家4级 
