AF上看不到https的安全防护日志解决思路

感谢分享，有助于工作，继续打卡学习!

感谢分享，有助于工作，学习学习

• 问题
  
  
  
  • AF上看不到针对https防护日志，https网站裸奔。
    
    
    
• 客户网络环境
  
  
  
  • AD出口（主备），下联为AF（主主），网络拓扑如下
    
    
    
• 解决思路
  
  
  
  • （1）查看针对https网站的解密是否配置正确，本文配置正确
    
    
    
    • 解密场景
      
      
      
      • 解密内网服务器发布的业务（需导入服务器证书）
        
        
        
      • 解密访问站点的数据（AF充当中间人，同个建立两台ssl连接，解密用户访问服务器的数据并进行保护）
        
        
        
  • （2）在AF（主控）上的wan口抓取数据包，发现数据包是是单向的，只有出去的包，没有回来的包
    
    
    
    • 控制台抓数据包或者命令行抓取包（tcpdump -i eth1 host ip -nn -c 100）
      
      
      
  • （3）数据包是单向的，定位到为来回路径不一致
    
    
    
    • https的来回数据必须经过同一台AF，不然防护不生效，也没有响应的日志
      
      
      
    • http攻击如果是根据请求包的特征识别的，单向数据包也能防护，如果攻击是根据会话特征来识别的，则不防护
      
      
      
  • （4）来回路径不一致，想到双机聚合是否没有配置成功
    
    
    
    • 双机聚合应用场景
      
      
      
      • 在上下联两个设备启用链路聚合的场景下，AF做透明主主模式或者虚拟网线模式主主部署在中间，此时可能会出现请求和回应的数据流经过不同的AF （非对称流量） ，导致来回数据包在AF上的连接跟踪不一致而被AF丢包，而双机聚合功能则可以使非对称流量数据包经过AF时能够正常转发。
        
        
        
  • （5）客户环境中AF（双主）的上联为AD（主备），与双机聚合上下联为链路聚合的场景不符
    
    
    
  • （6）继续在AD（主）上的lan口抓取数据包，发现数据包同样和AF的wan口一样，只有出去的包，没有回来的包
    
    
    
  • （7）梳理客户网络环境，发现在AD上除了lan口和wan口，还有一条线路，在这里重命名为（net1），同样在改接口下抓取数据包，发现数据也是单向的，只有进来的包，没有出去的包(网络拓扑如下)
    
  • 
    
    
  • （8）由此判定，外网数据包进来的时候是走net1进来的，数据没有经过AF，数据返回的时候，先经过防火墙，后经过AD，再把数据转发出去
    
    
    
  • （9）检查AD的路由表，发现去往业务服务器的下一条是经过net1转发出去的，调整AD上的静态路由，使得去往业务服务器的下一跳从AD的lan口转发去问，问题解决。
    
    
    
• 结论
  
  
  
  • AD上静态路由配置异常，导致数据包的请求和回复不是由同一个接进行转发的，然后出现AF上来回路径不一致，没法针对https的业务进行防护