【AD】ACL策略不生效

场景描述

1.用AD设备替换原出口防火墙设备，原防火墙配置有应用控制策略限制外到内访问。

2.防火墙应用控制策略默认拒绝，而AD设备ACL策略默认允许。

3.先要将AD的ACL策略先配置（内-外，外-内）放通策略，后配置一条any-any的默认拒绝策略。

问题描述

配置完成后，映射出去公网ip:443的内网业务正常访问，公网IP:其他端口无法正常访问。

排查步骤

1.检查路由。配置ad到内网服务器的回包路由，测试网络正常。

2.检查目的地址转换。配置为：内网:443 映射 公网:1443

3.检查acl策略。

（1）允许访问控制台

（2）允许访问发布映射地址（内网地址:1443）

（3）允许访问发布映射地址（内网地址:443）

（4）拒绝所有

PS:AD 禁止做源、目地址、入接口均为所有的ACL，否则登录设备都被限制，特需谨慎！

4.验证发现业务地址，端口为443的业务可以访问，1443端口业务无法访问

5.将ACL策略禁用后，均可以正常访问。

6.将ACL策略禁用后，ACL（2）的策略目的地址内网ip改为公网ip后，均可正常访问

问题原因

一、ACL策略对控制台端口（默认443）不生效。

    1. AD对443端口业务的ACL策略不生效，导致443端口业务可以访问；

    2. 1443端口业务未匹配到ACL（2）允许策略，匹配到了ACL（4）拒绝策略，导致无法正常访问

二、ACL目的地址不能填写内网地址，需填写为公网地址

解决办法

1.更改AD设备控制台登录地址和业务地址不冲突

2.将acl策略目的地址改成映射的公网地址

感谢楼主的分享，文章针对AD产品的ACL策略不生效的问题进行了详细的分析，包括：前期环境描述、问题现象、问题原因、解决办法、注意事项，遇到类似的问题可以做一个参考，建议楼主可以把此文章放到社区的故障案例库进行归类，这样后续有遇到类似问题可以快速找到
再次感谢楼主的分享，期待楼主后续更多的分享哦~

感谢楼主分享，学习一下！！！！！！！！

感谢楼主分享，学习一下！！！！！！！！

感谢楼主分享，学习一下！！！！！！！！

楼主分析的很详细，不错的实战经验，小白用户一看就懂，非常好的技术干货帖，顶一个！

感谢楼主分享，学习一下

感谢楼主分享，学习一下

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~