#信服智创#沙箱CS资源使用异常案例

问题背景

客户现有一个内网OA应用属于CS架构，原来直接通过端口映射进行应用发布；现在需要通过零信任收缩暴露面，需要预先测试OA应用在沙箱内的使用情况。

测试过程

首先正常流程配置沙箱及应用发布，测试终端将应用快捷方式拖入沙箱内使用测试，发现应用内数据刷新不出来。因为是内部应用不方便截图，现象就是功能界面、聊天框都无法刷出内容。首先和客户确认了一下资源发布内容是否覆盖全，客户表示应用服务器就一台，已经发布正确了。但是经验告诉我大概率是有ip或端口没写全，由于是PC端沙箱场景，那么接下来的排查就是两个方面：

①   明确是否沙箱拦截造成的问题

②   找到拦截的具体ip域名端口添加到资源

-------------------------------------------

第一步先在沙箱发布策略中排除掉测试账号，重新登录测试已经可以正常使用软件功能，说明沙箱确实存在拦截的情况。

下一步需要明确沙箱中哪个模块存在拦截，需要用到客户端的工作空间调试器功能

使用该功能前需要在控制台开启对应用户的调试器使用权限，输入控制台密码查看终端激活码后保存用户策略

回到测试终端输入激活码即可打开工作空间调试器

由于本次异常并不属于沙箱内文件相关功能，所以首先尝试关闭网络管控模块，关闭后点击立即生效，然后直接测试软件是否可以正常使用

模块关闭后测试功能正常，基本确认问题就是沙箱的网络管理模块拦截了流量。接下来需要找到被拦截的具体ip或域名，这里需要使用客户端的日志收集功能，这里选择收集客户端拦截日志

完成收集后会自动打开日志路径，我们这里关注NetBlock的日志

日志内容会比较复杂，这里推荐以下几个维度来判断真实的拦截内容：

一、测试的时间，可以缩小日志筛选范围

二、测试软件进程名，日志中会记录具体拦截动作涉及的进程名，可以在任务管理器查到具体进程名后依据名称筛选

三、资源端口，有可能后端服务器有多台但是客户只提供了一个ip，可以通过搜索端口查看是否有遗漏

四、关注【沙箱拦截】，【安全域，出站】日志

通过以上维度确实定位到了一个可疑域名，日志中E-Mobile.exe就是测试客户端的进程名，对应8999端口也确实是服务端口，然后这个域名下还有个7071端口也是有拒绝记录

随后和软件运维确认到该域名是写入软件配置文件的，用户侧无法看到和修改，域名本身是指向客户本地的出口设备然后又映射到了内网服务器，总结一下就是，软件同时设计了内网通信地址和外网通信域名，确保用户无论在内外网都可以正常使用软件，但是由于软件判断逻辑不完善，在沙箱隔离外网（互联网）的情况下无法和域名连通，最终导致使用异常

处理过程

在资源中添加域名及对应端口后，测试使用恢复正常。

问题总结

资源发布不全是比较常见的问题，加上沙箱or虚拟网络域也会增加排查难度，如果现场环境能获取的信息有限，查看拦截日志是一个有效的排查方向。