一、环境问题
1、需要匹配应用控制策略的数据未到达防火墙,导致误以为应用控制策略不生效;
//使用抓包工具确认数据有发送到防火墙
2、环境中存在源地址转换等代理环境,数据到达防火墙时已经做了地址转换,导致五元组无法匹配到应用控制策略
//使用抓包工具抓到包之后,需要确认数据包中的五元组是否有被转换过;
PS:若抓不到数据包,有可能是中间网络环境拦截了数据,也有可能是数据做了地址转换,抓错了IP导致,建议可以ping一个固定长度的包测试,就可以不固定IP抓全部ping包,看数据包长度来确定五元组
二、配置问题
1、应用控制策略配置错误:源目的网络对象、源目区域、服务对象、生效时间配置不当
//通过应用控制策略模拟匹配工具,确定此五元组能否模拟匹配上已配置的策略
2、存在冲突的应用控制策略,导致此应用策略已失效
//存在冲突策略时,策略后面有一个冲突报错,或者也可以通过模拟匹配确认,匹配优先级为从上往下
3、存在相关的封锁名单/黑名单或白名单,或者其他的安全策略拦截
//针对五元组开启排障,查看此五元组数据是否被其他功能拦截或者放通
4、应用控制策略开启了长连接,导致会话跑满,引起新的数据无法匹配上策略
//首页检查会话数是否跑慢
5、匹配上了防火墙的端口映射导致默认放行
//检查端口映射是否有映射对应端口并勾选后台放通ACL
6、数据被多次穿透拦截或者被多次穿透策略放通
//检查是否有多次穿透的情况或者是否有配置多次穿透策略
7、有配置基于应用的应用控制策略,它会放通三次握手
//检查是否有基于应用的控制策略放通五元组的三次握手
8、页面提示应用控制策略不生效,后面有一个小感叹号;
//应用控制策略提示失效,点击“失效”处会有对应说明,根据对应说明进行处理;一般为策略冲突、策略一段时间没有数据匹配等,按说明提示修改配置即可,若说明上的内容与实际不符,请打开应用控制策略的【辅助工具】-【失效策略检查】重新检查一次即可
三、产品问题
1、会话跟踪导致数据走了老的策略,未匹配新配置的策略
2、应用控制策略未正常下发
3、跨三层取的MAC地址无法被应用控制策略直接调用,三层网络环境下无法直接配置基于MAC的应用控制策略做管控,可以通过基于用户来做
发表于 2023-8-2 10:39