AF应用控制策略不生效怎么排查？

若您的防火墙配置完应用控制策略后，数据被策略拦截/被放通不成功，或者体现为没有匹配数的情况，请按照以下思路进行排障：

1、使用抓包工具确认五元组数据已到达防火墙，并检查五元组是否经过NAT

2、将到达防火墙的五元组信息，进行应用控制策略模拟匹配，检查匹配的策略是否符合预期

3、若能够正常匹配应用控制策略，但数据还是不通/未被拦截，则可以将此五元组填入防火墙的排障工具中，查看排障日志，是否存在其他策略拦截/放通。

4、检查首页的会话数是否跑满，若跑满则检查是否有应用控制策略开启长连接

PS：长连接仅在服务器需要对外提供服务且需要长时间保持会话场景开启，常规场景无需开启

5、放通不生效场景，也可以在五元组出口抓包，确认数据是否正常转发，可能策略是正常放通的，对端网络不回包导致误以为策略不生效，此类问题您可以参考：网络不通数据包分析方法

6、若策略确实未生效，则需要后台检查策略下发情况

注意：添加了白名单，应用控制策略拒绝不生效；添加了黑名单，应用控制策略允许不生效。

PS：详细操作步骤请跳转到AF基于服务的应用控制策略不生效的排障的指导，按照排障指导的排障步骤进行问题排查：AF基于服务的应用控制策略不生效

多谢楼主分享排查的方法，学习了。