故障描述: 用户采购了一台AF-1000,做路由网关部署在网络出口,开启了客户端防护策略,外网-内网得ddos策略,内网-外网得ddos,其余无特殊安全策略。 使用一段时间后客户反馈,内网经常有pc用着用着断网,断网时间也是断断续续,过一段时间后就会回复。
处理过程:
首先收集现象和操作,经过和客户沟通后,一般断网前用户有但不限于以下操作,看视频、打开迅雷。断网时间也是有规律的,大概5分钟左右,从这点基本就感觉是某种策略拦截导致(因为拦截封禁时间一般是5分钟或者10分钟)此时想起用户当时考虑内网发包防护是开了内到外ddos,迅雷或者视频会不会运行时连接数很高导致触发策略?
登录af的控制台,进入日志中心搜收记录发现确实有触发记录,关闭内-外ddos策略后,客户没再反馈该问题,故障处理完毕。
分析:
一般情况不建议设置内网-外网的ddos策略,迅雷和视频软件在运行时会发起大量连接,很容易超过阈值被拦截断网。当然不仅限于时迅雷和视频软件,其他会产生大量连接的软件也是如此。排查时需要注意,ddos模块开启直通依然会生效,还有该断网现象在前期信息收集不够的情况下很容易没有线索,凡是设置内-外ddos策略的,用户环境断网优先排查此策略。 | 
楼主
发表于 2022-10-9 19:33
技术员2级 
