本帖最后由 李会斌 于 2023-11-9 09:01 编辑
AF路由模式部署导致360网盘客户端上传速度变慢
前提介绍:
某高校客户内网有一台360网盘服务器,想实现用户可以访问域名的方式进行文件的上传与下载,由于客户原有出口深信服防火墙性能不足的问题,客户想从新采购一台深信服防火墙,实现360网盘业务的正常使用。
客户网络拓扑:
深信服出口防火墙-核心交换机-深信服WAF-360网盘服务器
本次测试的防火墙为老架构的8048版本
防火墙配置如下:
(1)AF采用路由模式部署在出口
(2)配置路由
(3)acl因为是测试所以选择any
(4)配置360网盘的映射
(5)安全防护策略为系统默认
测试过程:
为了保障客户上线后正常使用,本次测试都采用基于客户现场实际环境进行测试。
第一次测试:
测试目的:测试防火墙带宽性能是否满足
(1)为了验证防火墙的性能我们也结合用户实际情况,我们通过手机热点访问客户360网盘测试发现速度不是很理想;
(2)经过我们的思考,我们把防火墙设置为虚拟网线模式,直接访问360业务发现速度正常;
(3)客户觉得这么测试性能不符合实际情况,不认可测试效果;
(4)我们协调一个1G带宽的测试环境,经过测试发现360网盘业务,通过客户端与网页端的上传速度不一致;
第一次总结:
(1)协调360网盘人员查看客户端问题;
(2)查看深信服防火墙配置问题;
(3)协调其他厂家防火墙测试。
第二次测试:
(1)协调360网盘人员查看发现客户端没有问题;
(2)替换其他厂家防火墙查看360网盘业务上传下载速度一致;
(3)查看深信服防火墙配置,发现为防火墙安全防护功能问题。
第二次总结: (1)本次补丁优化策略只能把防火墙对于大文件传输的判断阈值降低; (2)新架构85R版本可以直接后台改参数,不需要打补丁包; (3)修改参数不影响业务,但是检测绕过的能力会变弱,这个实在没有其他办法。精检测会消耗性能,这两者比较矛盾; (4)新架构防火墙有个折中方案具体需要咨询总部。
具体排除细节如下:
(1)开启防火墙直通模式进行测试,发现还是无法解决
(2)协调400排查
经过排查AF有个针对http流量的优化补丁包“KB-AF-20220520-http_file_optimize”我们加固补丁;
(3)再次测试发现还是没有解决问题
(4)我们开启把360网盘开启白名单后发现测试正常
(5)关闭白名单,禁用安全防护策略测试正常,此时分析可能是某个检测机制导致异常;
(6)排查安全防护策略
1、关闭ad_appd进程,上传速度可以上去达到100
2、页面关闭业务防护策略,也可以达到100
3、手动关闭安全策略的业务防护,里面内容安全。业务安全、漏洞攻击,任意单个策略关闭,速度都只能达到50
4、如果把所有的策略都关闭,只开僵尸网络,可以达到100
4、如果开启僵尸网络,再开启内容安全、漏洞攻击、web,任意一个,都只能跑到50
(7)上升问题到研发,并配合研发进行测试;
(8)针对上面的补丁包KB-AF-20220520-http_file_optimize进行配置修改测试;
按照参数调整和测试,基本确认了360网盘客户端会把大文件拆成非常多小于1M的小文件进行传输,这种场景下对cpu的占用很高
(9)修改补丁包KB-AF-20220520-http_file_optimize参数如下:
后台更改的配置,更改后重启ad_appd生效
测试最终效果:
经过调试后最终测试效果比较符合当前客户的实际情况,客户端与网页的速度基本保持一致。
(1)网页端上传文件
(2)客户端上传文件
(3)网页端下载文件
(4)客户端下载文件
(5)客户端多文件下载测试
(6)网页端多文件下载测试
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-11-8 13:37
技术专家2级