排错分享---应用控制策略拒绝之后微软以及毒霸依旧在更新
  

婷哥哥 4779

{{ttag.title}}
今天接到一个故障报告,问题为配置禁止上网策略不生效,开启排障之路
首先给客户联系,询问大概情况,对话内容
我:您好,请问是胡先生吗?
胡:是的,你是?
我:胡先生您好,我是某公司江苏技术服务中心,售后工程师xxx,您那边有台行为管理有点问题是吗?
胡:AC我已经搞好了,但是现在AF上还有点问题。
我:可以说下大概的问题吗?
胡:就是我再AF上做了应用控制策略,禁止了103段的地址上网,但是现在微软以及毒霸还在进行软件更新,我不知道问题出在哪里?
我:好的,胡先生,请问您的环境是AF放在出口,AC网桥,然后在AF上做了应用控制策略但是没有生效是吗?
胡:不,我在AF上还有一台AD,AF是在AD下面。
我:好的,我这边大概了解了您的网络拓扑以及故障现象,胡先生您看我能否加您的qq远程看下配置呢?
胡:好的,我的qq是。。。。。。
以上为第一次打电话,大概了解了客户的网络拓扑以及故障现象,根据了解到的信息画出大致的拓扑,如下
140275b5fd6dca6c81.png
客户是在AF上做的应用控制策略,远程上去之后先看配置
根据配置来看,103这个段只是允许了DNS,其他的都匹配上的是默认策略拒绝的,那么为什么不生效呢,
1、首先看下设备是否开了直通
495495b5fd96495b0e.png
没开,第二步
2、看配置是否正确
不管是AC还是AF策略不生效,首先看下配置是否正确,使用对象是否正确
    当然,人家胡工既然能把环境说的那么清晰,还能把这个拓扑给搞出来,那吗配置99.99%是没问题的了,但是作为一位远程支持的工程师,还是要亲自看下的,结果当然是配置没问题啦,选择的应用就真的只有一个DNS,匹配上的用户确实也是103这个地址段,接着第三步;
3、看规则库是否更新
  第二步也是AC  AF通用的,规则库是否为最新,这步忘记截图了,不过确实是最新的
4、是否放到全局排除
我们知道,放到白名单的地址都是不审不控的,来看看AF的内置白名单有哪些吧,
534365b5fd90a6fc42.png
54155b5fd92d7e9ab.png
好家伙,找到了吧,原来在白名单躺着呢,直接选中,点击后面的绿色的对号禁止就好啦。
至此,故障解决。。。。。。
提醒:一般像这种问题,控制策略不生效的,排障的时候按照步骤来,几乎都可以排出来的。

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

深信服牛逼 发表于 2018-8-2 14:35
  
好家伙,找出来了,问题在这里。
cow977 发表于 2018-8-3 06:21
  
这白名单,还真会把给忘了。
vito 发表于 2018-8-3 08:52
  
厉害,这个白名单确实容易忽略。
你个妖孽 发表于 2018-8-9 09:39
  
学习,get
高鹏 发表于 2018-8-22 09:08
  
就服你的拓扑图
feeling 发表于 2018-8-22 09:29
  
这家伙,厉害
ztong 发表于 2018-8-22 13:43
  
学习学习,图画的不错
新手924135 发表于 2018-8-22 14:55
  

学习学习,图画的不错
爷傲灬奈我何 发表于 2018-8-22 18:00
  
:不是吧:给力 学到了
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
每周精选
技术笔记
干货满满
技术咨询
新版本体验
信服课堂视频
标准化排查
产品连连看
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
社区帮助指南
技术晨报
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人