今年解决深信服 AF 源 IP 显示难题实战心得与复盘总结

一、问题背景与挑战
深信服下一代防火墙 (AF) 作为企业网络安全防护的重要设备，在日常运维中经常会遇到源 IP 显示不准确的问题。这一问题不仅影响安全事件的准确溯源，还可能导致安全策略误判、异常流量难以定位等一系列连锁反应。2025 年，随着网络环境日益复杂和安全需求不断提升，解决深信服 AF 源 IP 显示难题变得尤为重要。
源 IP 显示问题的核心挑战在于，AF 设备在处理网络流量时，由于各种技术机制（如 NAT 转换、代理转发、DNS 解析等）的存在，导致日志中记录的源 IP 地址并非真实的客户端 IP 地址。这种情况在多出口、双机部署、代理环境等复杂网络架构中尤为突出。
二、源 IP 显示问题的主要类型与原因分析
2.1 DNS 服务器导致的源 IP 显示不准确
问题表现：AF 设备检测到僵尸网络或恶意访问时，告警信息中显示的源 IP 是 DNS 服务器的 IP 地址，而非真实的中毒终端 IP 地址。
根本原因：内网终端访问外网域名时，流量首先经过内部 DNS 服务器进行解析，导致镜像数据时以 DNS 服务器为源 IP。当检测到恶意域名访问时，AF 设备会记录 DNS 服务器的 IP 作为源 IP，而非真实的客户端 IP。
典型案例：某企业网络中，AF 设备频繁告警 DNS 服务器 IP 存在僵尸网络行为，但在该服务器上未发现任何恶意程序。经排查发现，实际是内网某终端通过 DNS 服务器解析恶意域名，导致 AF 误报。
2.2 代理环境下的源 IP 显示问题
问题表现：AF 检测到有人通过代理访问某个网站（如 P 站），但日志中只有拒绝代理的地址而没有内网地址，无法准确定位真实访问者。
根本原因：
代理服务器转发流量时，源 IP 被替换为代理服务器的 IP
AF 设备的日志记录设置不当，未正确记录客户端真实 IP
策略配置问题，可能只针对代理服务器进行了限制和记录
典型案例：某公司安全团队发现 AF 日志中记录了代理服务器 IP 访问限制网站，但无法确定是哪个员工在使用代理。通过交换机端口镜像和代理服务器日志分析，最终定位到具体终端。
2.3 NAT 转换导致的源 IP 显示问题
问题表现：配置 NAT 策略后，AF 日志中记录的源 IP 是 NAT 转换后的 IP 地址，而非原始的客户端 IP。
根本原因：
源地址转换 (NAT) 功能将内网 IP 转换为指定的公网 IP，导致日志中记录的是转换后的 IP
策略路由配置不当，导致流量路径异常
双线路环境下，未正确配置运营商路由策略
典型案例：某企业配置了策略路由，将特定业务流量引导至备用线路，但 AF 日志中显示的源 IP 与实际不符，导致无法准确统计各线路的流量分布。
2.4 双机部署模式下的源 IP 显示问题
问题表现：虚拟网线双主模式下，AF 直通日志显示的是数据同步口 IP，而非业务流量的真实源 IP。
根本原因：业务流量存在两台设备都会承载的情况，虚拟网线双主开启双机聚合，如果存在来回不一致的情况，会通过数据口将数据同步到另外一台设备，保证业务正常。此时通过数据库同步的数据会加层头部封装，导致直通日志显示数据同步口 IP。
2.5 SSL VPN 配置导致的源 IP 问题
问题表现：SSL VPN 用户访问内网资源时，AF 日志中记录的源 IP 是虚拟 IP 或设备 IP，而非 VPN 客户端的真实 IP。
根本原因：
SSL VPN 部署模式为网关模式，内网接口为聚合接口时，无法正确选择源 IP
"以设备源 IP 访问资源" 选项配置不当，导致源 IP 被替换为设备 IP
路由优先级配置问题，导致回包路径异常
典型案例：某企业 SSL VPN 用户反馈无法访问某些内网资源，经排查发现，由于聚合接口配置问题，AF 使用了错误的源 IP 访问资源，导致访问失败。
三、解决源 IP 显示问题的实战方案
3.1 DNS 服务器源 IP 显示问题的解决方案
方案一：启用恶意域名重定向功能
适用于新架构 AF 设备：
路径：【策略】-【安全策略】-【安全防护策略】-【高级设置】
操作：勾选【启用内网DNS服务器场景优化】

适用于老架构 AF 设备：
路径：【内容安全】-【僵尸网络】-【高级配置】
操作：点击勾选【启用恶意域名重定向】
方案二：配置 DNS 透明代理
路径：【网络】-【DNS配置】-【DNS透明代理】
操作：
1. 设置外网DNS服务器地址（如电信DNS 114.114.114.114、联通DNS 223.5.5.5）
2. 上传域名文件列表，指定需通过内网DNS解析的域名
3. 开启DNS透明代理开关，确保功能生效

3.2 代理环境下源 IP 显示问题的解决方案
方案一：配置 X-Forwarded-For (XFF) 头字段
通过前端代理服务器配置 XFF：
# Nginx配置示例
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Real-IP $remote_addr;

方案二：AF 设备日志优化
路径：【日志】-【日志配置】-【自定义日志】
操作：添加日志字段$http_x_forwarded_for，记录XFF信息
验证：通过日志查询或报表功能检查XFF字段是否生效

方案三：安全策略调整
在 AF 安全策略中优先使用 $remote_addr（TCP 连接真实 IP）进行限速或封禁
对 XFF 字段进行二次校验，如匹配已知代理 IP 列表或内部网络段
方案四：使用 AF 设备内置功能
路径：【策略】-【安全策略】-【高级配置】
操作：启用"记录客户端源IP"选项，AF设备将在日志中记录原始IP（非XFF）

3.3 NAT 转换导致源 IP 显示问题的解决方案
方案一：正确配置源地址转换规则
步骤1. 定义内外网区域
路径：【网络】-【接口】-【区域】
操作：定义好接口所属的区域，如ETH1定义为外网区，ETH2定义为内网区

步骤2. 新增NAT
路径：【地址转换】-【IPv4地址转换】
操作：点击<新增>，弹出<新增NAT>页面，默认选择<源地址转换>

步骤3. 设置原始数据包的匹配条件
- 源区域和网络对象：选择区域为内网区，网络对象为内网IP网段
- 目的区域/接口和网络对象：选择目标区域为外网区，网络对象为全部
- 协议：使用默认"any"

步骤4. 设置转换后的数据包
- 选择防火墙接口的出接口地址
- 根据需要设置转换模式和Sticky选项

步骤5. 保存配置并验证

方案二：配置运营商路由策略
路径：【网络】-【路由配置】-【策略路由】
操作：
1. 新建策略路由规则，匹配目标DNS服务器IP（如电信DNS）
2. 指定出口为对应运营商线路
3. 重复操作配置其他运营商线路规则，实现双线路DNS分流

3.4 双机部署模式下源 IP 显示问题的解决方案
方案一：理解数据同步机制
接受在双机部署模式下，某些情况下直通日志显示数据同步口 IP 是正常现象，无需特殊处理。
方案二：优化双机部署配置
确保双机配置一致，避免数据不同步导致的源 IP 显示问题
合理规划数据同步口和业务口，减少不必要的数据同步
3.5 SSL VPN 配置导致源 IP 问题的解决方案
方案一：手动配置源地址转换
对于新架构 AF 设备：
操作：手动配置一条sslvpn接口去往真实内网口（聚合口）的snat
目的：实现以设备的IP作为源IP去访问资源

方案二：调整路由优先级
操作：修改sslvpn路由优先级大于策略路由
注意：修改路由优先级为高危操作，需与客户同步风险并获取同意后才可修改

方案三：使用 show session 命令检查会话
命令：show session src-ip [源IP] dst-ip [目的IP] dst-port [端口]
作用：确认地址转化是否生效，分析会话路径

四、实战排查流程与工具使用
4.1 通用排查步骤
步骤一：确认网络环境
确认代理使用情况：通过查看用户访问记录、询问用户或检查网络流量等方式
梳理网络拓扑结构：确认数据流量是否确实经过了深信服 AF 防火墙
使用抓包工具进行数据抓包，验证数据是否匹配到策略
步骤二：检查 AF 配置
日志设置检查：确保已勾选记录相关日志的选项，特别是记录通过代理访问的日志
策略检查：检查 AF 中的安全策略，确保正确配置并开启日志记录
DNS 代理设置：确认是否开启了 DNS 代理功能，并正确配置了 DNS 服务器
步骤三：检查系统日志
查看 AF 的系统故障日志，检查是否有与代理访问相关的报错或警告信息
如果配置了外置数据中心，检查其系统日志或同步日志
步骤四：其他排查措施
检查代理服务器：确认其是否正常运行且配置正确
用户访问行为分析：通过用户访问行为分析工具，尝试找出内网地址或相关线索
联系技术支持：如果以上步骤均无法解决问题，联系深信服技术支持团队
4.2 关键工具使用技巧
抓包分析工具
Wireshark：在网络层抓包全面，但网口流量太多时难以根据进程定位
建议：在环境纯净的虚拟机里面抓包，或根据程序外发请求的时间缩小流量范围
TCPView：可以查看某个进程的 TCP/UDP 连接情况
Process Monitor：添加过滤器，过滤 operation 为 tcp/udp send/receive
Proxifier + Fiddler：适用于 HTTP/HTTPS 场景，强制将应用程序流量发至 Fiddler
AF 设备内置工具
直通功能：
路径：【系统】-【维护】-【直通】
作用：临时放行特定IP或端口的流量，用于快速定位问题
注意：开启直通后所有策略还会检测只是不拦截

会话查看命令：
命令：show session [参数]
作用：查看当前会话信息，包括源IP、目的IP、端口、协议等

日志分析：
路径：【日志】-【日志查询】
作用：根据时间、源IP、目的IP等条件查询日志，定位问题

五、实战案例与经验总结
5.1 案例一：DNS 服务器导致的僵尸网络误报
问题描述：某企业 AF 设备频繁告警 DNS 服务器 IP 存在僵尸网络行为，但在该服务器上未发现任何恶意程序。
排查过程：
检查 DNS 服务器进程，确认存在 dns.exe，表明该主机是 DNS 服务器
分析 AF 日志，发现告警信息中的源 IP 确实是 DNS 服务器 IP
抓包分析，发现实际是内网某终端通过 DNS 服务器解析恶意域名
解决方案：
在 AF 设备上启用 "恶意域名重定向" 功能
配置 DNS 透明代理，确保能够记录真实的客户端 IP
安装 EDR 进行终端防护
经验总结：
遇到僵尸网络告警时，首先确认源 IP 是否为 DNS 服务器
对于 DNS 服务器，务必启用 "恶意域名重定向" 功能
结合终端防护工具，提高安全事件定位准确性
5.2 案例二：SSL VPN 用户源 IP 显示异常
问题描述：某企业 SSL VPN 用户反馈无法访问某些内网资源，AF 日志中记录的源 IP 与预期不符。
排查过程：
检查 SSL VPN 资源配置，发现发布的是 TCP 资源，而手机端只能访问 L3 资源
将资源修改为 L3 资源重新发布，但问题依旧
抓包分析，发现内网不回虚拟 IP 的数据包
检查内网接口配置，发现为聚合接口，但在部署模式中无法选择
解决方案：
手动配置一条 sslvpn 接口去往真实内网口（聚合口）的 snat
修改 sslvpn 路由优先级大于策略路由
使用 show session 命令确认地址转化生效
经验总结：
SSL VPN 配置中，手机端只能访问 L3 资源，不能访问 TCP 资源
聚合接口在某些部署模式下无法直接选择，需要手动配置 snat
修改路由优先级为高危操作，需谨慎操作并提前告知客户风险
5.3 案例三：代理环境下源 IP 显示缺失
问题描述：某公司安全团队发现 AF 日志中记录了代理服务器 IP 访问限制网站，但无法确定是哪个员工在使用代理。
排查过程：
检查 AF 日志设置，发现未记录 XFF 字段
检查代理服务器配置，发现未正确设置 X-Forwarded-For 头
分析交换机端口镜像，尝试定位真实源 IP
解决方案：
在代理服务器上配置 X-Forwarded-For 头
在 AF 设备上配置自定义日志，记录 XFF 字段
调整安全策略，优先使用 $remote_addr 进行限制
经验总结：
代理环境下务必配置 X-Forwarded-For 头，以记录真实源 IP
AF 设备默认不记录 XFF 字段，需要手动配置
结合多种日志源（AF 日志、代理服务器日志、交换机日志）提高溯源准确性
六、总结与展望
6.1 关键经验总结
问题识别要全面：源 IP 显示问题可能由多种原因引起，包括 DNS 转发、NAT 转换、代理配置、路由策略等，需要全面分析可能的原因。
工具使用要熟练：充分利用 AF 设备的日志功能、抓包工具和会话检查命令进行问题定位，提高排查效率。
配置调整要谨慎：在调整配置时，特别是涉及路由优先级等高危操作，要充分评估风险，并与客户同步。
解决方案要综合：针对不同类型的源 IP 显示问题，采用综合解决方案，包括功能配置、策略调整、工具使用等。
6.2 技术发展趋势
云端协同：深信服 AF 设备正在加强与云端的协同，通过云端 SASE POP 节点检测本地无法识别的流量，提升威胁识别率。
智能化分析：未来 AF 设备将更加智能化，能够自动识别和处理源 IP 显示问题，减少人工干预。
API 集成：通过开放 API，AF 设备将更好地与第三方系统集成，实现源 IP 信息的共享和统一管理。
6.3 最佳实践建议
提前规划：在网络架构设计阶段，就应考虑源 IP 显示问题，合理规划 DNS、代理、NAT 等配置。
定期检查：定期检查 AF 设备配置，确保日志记录、策略配置等符合最佳实践。
持续学习：关注深信服官方文档和社区，学习最新的技术和解决方案。
团队协作：源 IP 显示问题的解决往往需要网络、安全、系统等多个团队的协作，建立有效的沟通机制。
通过以上实战心得和复盘总结，我们可以更好地理解和解决深信服 AF 源 IP 显示问题，提高网络安全事件的溯源准确性和处理效率。在未来的网络环境中，随着技术的不断发展，我们需要持续学习和实践，以应对更加复杂的源 IP 显示挑战。