【原创分享计划】+AC放通自定义url收集添加
  

静默 发表于 2019-6-23 17:57


现网情况:
    AC作网关模式部署,作为出口网关外接联通线路。现如今在AC上做应用策略,要求除了部分允许访问网站外,其他所有应用都不允许使用。

被允许网址:高德地图(以此网址为例)https://www.amap.com/
根据AC的操作文档,https需要查看证书并将证书作为主域名放通
715515d0f41ef93253.png
由上图可收集到高德地图的证书为:*.amap.com

在深信服上添加自定义url分类
添加url为:*.amap.com,并在策略调用新建的自定义url分类完成策略(具体操作详情可参考深信服 AC 用户手册)

然而,但是,转折点出现了:
配置了策略后,高德地图可以打开,但是无法显示具体的地图:
550115d0f445133ecc.png

出现故障后,开放全通发现问题恢复,可以正常查看到地图
751545d0f44b1681f7.png

重新开启策略并在深信服上进行故障策略排查后发现阻止了大量的url请求
经过多方询问后得知大部分网站会调用其他网址的内容
问题就变为:如何得知目标网址调用了哪些外部网址?
目前得知的方法有:
在权限策略故障排查中可以看到被禁止的url,对该网址进行放通;缺点为:哪怕只让测试电脑进行访问你目标网址,被禁言网址也很多,只能一个个进行排查确认

以上这个方法及其复杂,花费很多时间,也浪费业务中断的空窗时间,于是有了下面这个方法:

1.打开目标网址,按F12进入开发者模式:
416755d0f490049f3f.png

选中Networl ,将光标悬停在Name 值上

144815d0f4bd818bbe.png
(由于截图后无法查看到悬停光标时,所以点击查看右方也可以看到url)
可以看到高德地图还调用了 alicdn 这个域名的内容,将其他的不通的域名也进行添加

在自定义url分类中 添加*.alicdn.com 后再进行测试
地图界面:可以打开;地图:可以看得到,完成。

这个方法广泛使用于自定义url分类的情况。虽说需要收集url,但也比我目前知道的其他方法简单方便得多。
169165d0f4350692ec.png

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

sangfor_闪电回_小六 发表于 2019-6-24 09:48
  
您好,感谢您参与社区原创分享计划,您的文章已被收录到计划中,分享激励将在专家小组评审结束后进行派发,再次感谢!
SANGFOR专家组 Lv3发表于 2019-7-9 16:47
  
感谢楼主的分享,文章整体排障思路很清晰,在自定义url放通场景非常实用,希望看到楼主更多的精彩分享!

×
有话想说?点这里!
可评论、可发帖

本版热帖

本版达人

新手24268...

本周建议达人

玖零网络

本周分享达人

新手60293...

本周提问达人