【2022争霸赛*干货满满】外网访问内网业务，打开的弹框显示空白

一起来学习 一起来学习

感谢楼主分享，学习一下

打卡学习，感谢大佬分享！

【问题描述】

某客户网络拓扑如下图所示：外网测试设备地址114.x.250.89，内网服务器地址是192.168.1.100。流量路径为：外网用户通过访问运营商提供的地址210.x.x.192去访问内网WEB服务，运营将去210.x.x.192的流量用路由指向AF的出口地址124.x.x.90，然后AF做目的NAT，将访问210.x.x.192的流量转换成192.168.1.100。现问题是：外网访问内网的WEB站点，点击小窗口弹窗时显示空白。

【故障现象】

1、Ping和telnet测试端口都可以通，但是小弹框页面无法显示

2、在防火墙内网和外网口同时抓包，并且访问测试，可以看到当源和服务器建立三次握手成功后，发出GET其请求，之后服务器就没有回包了。然后源发过来大量的重传包，但是防火墙内网口没有收到，猜测应该是发送过来包被拦截了。

3、针对源IP：114.242.250.89开直通策略，发现就可以访问到小弹框的页面了，查看直通日志，显示是waf模块拦截了。查看相应的安全策略，发现有记录日志，到内置数据中心查看WAF日志，发现有拒绝的安全日志，安全日志中的URL就是小弹框的URL。

4、将该日志添加例外，然后关闭直通，发现仍然可以访问小弹框，说明就是该问题导致。

5、在安全策略的高级设置-->WEB应用防护排除设置-->WEB应用防护规则排除处，将之前添加的例外，源IP选择全部，这样外网就都可以访问了。

【故障分析结论】

小弹框的URL中带有SQL注入的攻击特征，所以页面被AF的WAF拦截了，导致访问不了

【解决方案】

将该日志添加例外，然后在安全策略的高级设置中，将该例外的源对象改为全部。