【每日一记9】+第6天+AF登录失败

    故障现象：客户反馈在内网无法登录设备控制台，直连设备的Manage口也无法登录。

   

    一、排查

    1、情况了解

    一开始客户反馈反馈在公网无法访问该防火墙，于是来到单位内网排查，发现在内网也无法登录到防火墙。

    2、电话排查

    a.直连设备。

    先让客户直连设备的Manage口，电脑配置10.251.251.X/24网段的IP地址，访问10.251.251.251也无法访问，PC可以ping通该地址。

    b.测试443端口

    在DOS下使用telnet 10.251.251.251 443命令，发现端口不通。

    c.指示灯观察

    设备的前面板的Alarm灯正常闪烁。

    d.WEB服务异常

    重启设备依旧有此问题。

    3、现场排查

    初步排查，判断问题有可能是WEB服务挂掉或端口更改过。

    a.使用scanport端口扫描工具进行扫描

   

    先排除设备自身使用的服务端口。

   路径：【对象】--【服务】--【预定义服务】--【本地服务】

   

   再判断哪些端口可能是服务端口，如果找不到，就依次尝试。

   最后判断端口是43430。

   二、验证

   使用https://10.251.251.251:43430进行登录。

   

    三、其他注意事项

    1、AF的DNS代理服务监听TCP 53、UPD 53端口，Web服务监听TCP 800端口。

    2、防火墙关闭自身端口

    a.做目的地址转换映射到内网一个不存在的IP地址

    b.8.0.2及以上版本，可以做本机访问控制，限制外网访问AF设备自身的端口

    c.85是AF设备内置数据中心使用的端口，9000是AF设备网页防篡改2.0使用的端口

    3、AF可以针对不同接口下发不同IP

    【网络】-【高级网络设置】-【DHCP】可针对不同的接口下发不同网段的IP。

    4、AF 8.0.23及以上版本支持Linux系统拨入SSL VPN。

    5、AF可以限制内网的用户去使用QQ聊天

    6、NGAF的默认应用控制策略是全拒绝策略，多个VLAN间数据默认是无法互访的

    7、AF配置DHCP中继

    【网络】-【高级网络配置】-【DHCP】-【DHCP中继】，启用DHCP中继，选择对应DHCP服务器的接口，配置DHCP服务器的地址。