【故障案例】AF防火墙策略导致业务访问异常

一、问题描述
本公司部署深信服AF防火墙后，财务部门无法访问ERP系统（IP：10.10.1.100），其他业务系统访问正常。故障发生时间为工作日上午9点业务高峰期。

二、告警信息
1. 安全策略命中日志显示策略ID 205被频繁触发
2. 应用控制日志中检测到"HTTP/1.1 403 Forbidden"记录

三、处理过程
1. 基础排查：
- 确认ERP服务器运行状态正常（响应时间<50ms）
- 检查防火墙接口灯状态/链路聚合配置正常
- 执行tracert路径跟踪确认流量经过AF设备

2. 策略分析：
- 检查安全策略时发现新增策略ID 205：
  ```json
  {
    "源区域": "trust",
    "目的区域": "dmz",
    "源地址": "10.20.0.0/24",
    "目的地址": "10.10.1.100",
    "服务": "HTTP",
    "动作": "拒绝",
    "生效时间": "全天"
  }
  ```
- 验证策略命中情况，发现策略误包含财务部门网段（10.20.0.0/24）

3. 流量测试：
- 在AF CLI执行诊断命令：
  ```bash
  diagnose firewall packet-filter src 10.20.0.25 dst 10.10.1.100 proto 6 sport 1024 dport 80
  ```
- 抓包分析显示HTTP GET请求被拦截

四、根因
新配置的安全策略ID 205误将财务部门IP段包含在拒绝策略中，且策略优先级（priority 0）高于放通策略（priority 5），导致合法业务流量被阻断。

五、解决方案
1. 紧急处置：
- 临时禁用策略ID 205
- 在【策略管理】→【安全策略】添加临时放通规则（优先级10）

2. 最终修复：
- 修正策略ID 205的源地址为实际目标网段10.30.2.0/24
- 调整策略优先级顺序，确保放行规则（priority 0）优先于管控规则
- 启用策略命中日志分析功能

3. 验证：
- 业务部门测试访问成功（HTTP 200 OK）
- 持续监控15分钟无异常丢包

六、建议与总结
1. 策略配置规范：
- 实施变更前需进行策略仿真测试
- 建立IP地址管理库（IPAM）确保地址对象准确性

2. 优化建议：
- 启用策略优化向导功能，自动检测冲突策略
- 配置策略生效时间窗口（非业务时段启用新策略）

3. 知识沉淀：
- 将该案例纳入新员工培训教材
- 创建策略模板库，标注高风险策略类型（如全量网段策略）

【故障案例】AF防火墙策略导致业务访问异常 打赏(0)     点赞(0)
admin专属  2025-3-13 11:48  2  

一、问题描述
本公司部署深信服AF防火墙后，财务部门无法访问ERP系统（IP：10.10.1.100），其他业务系统访问正常。故障发生时间为工作日上午9点业务高峰期。

二、告警信息
1. 安全策略命中日志显示策略ID 205被频繁触发
2. 应用控制日志中检测到"HTTP/1.1 403 Forbidden"记录

三、处理过程
1. 基础排查：
- 确认ERP服务器运行状态正常（响应时间<50ms）
- 检查防火墙接口灯状态/链路聚合配置正常
- 执行tracert路径跟踪确认流量经过AF设备

2. 策略分析：
- 检查安全策略时发现新增策略ID 205：
  ```json
  {
    "源区域": "trust",
    "目的区域": "dmz",
    "源地址": "10.20.0.0/24",
    "目的地址": "10.10.1.100",
    "服务": "HTTP",
    "动作": "拒绝",
    "生效时间": "全天"
  }
  ```
- 验证策略命中情况，发现策略误包含财务部门网段（10.20.0.0/24）

3. 流量测试：
- 在AF CLI执行诊断命令：
  ```bash
  diagnose firewall packet-filter src 10.20.0.25 dst 10.10.1.100 proto 6 sport 1024 dport 80
  ```
- 抓包分析显示HTTP GET请求被拦截

四、根因
新配置的安全策略ID 205误将财务部门IP段包含在拒绝策略中，且策略优先级（priority 0）高于放通策略（priority 5），导致合法业务流量被阻断。

五、解决方案
1. 紧急处置：
- 临时禁用策略ID 205
- 在【策略管理】→【安全策略】添加临时放通规则（优先级10）

2. 最终修复：
- 修正策略ID 205的源地址为实际目标网段10.30.2.0/24
- 调整策略优先级顺序，确保放行规则（priority 0）优先于管控规则
- 启用策略命中日志分析功能

3. 验证：
- 业务部门测试访问成功（HTTP 200 OK）
- 持续监控15分钟无异常丢包

六、建议与总结
1. 策略配置规范：
- 实施变更前需进行策略仿真测试
- 建立IP地址管理库（IPAM）确保地址对象准确性

2. 优化建议：
- 启用策略优化向导功能，自动检测冲突策略
- 配置策略生效时间窗口（非业务时段启用新策略）

3. 知识沉淀：
- 将该案例纳入新员工培训教材
- 创建策略模板库，标注高风险策略类型（如全量网段策略