数据经过AF设备后上网异常,可参考以下步骤排查:
1、检查IP地址、路由、地址转换、应用控制策略配置是否有问题
①以标准版本AF7.3版本操作路径示例:
在【网络配置】-【接口/区域】和【路由】中查看IP地址和路由
在【防火墙】-【地址转换】中查看地址转换策略
在【内容安全】-【应用控制策略】中查看策略放通情况
②以标准版本AF7.4版本操作路径示例:
在【网络】-【接口/区域】和【路由】中查看IP地址和路由
在【网络】-【地址转换】中查看地址转换策略
在【策略】-【访问控制】-【应用控制策略】中查看策略放通情况
2、内网PC测试PING AF内网口地址是否能通,以此确认数据是否经过AF
3、开直通或全局排除测试
①以标准版本AF7.3版本操作路径示例:在【系统维护】-【数据包拦截日志与直通】-【开启实时拦截日志并直通】中开启直通日志观察是否正常,若正常则需根据直通日志放通数据
在【系统】-【全局放行与封堵】查看全局排除地址
②以标准版本AF7.4版本操作路径示例:在【系统】-【排障】-【数据包拦截日志与直通】-【开启实时拦截日志并直通】中开启直通日志观察是否正常,若正常则需根据直通日志放通数据
在【策略】-【黑白名单】查看全局排除地址
直通:用于查询一个数据包在通过设备时是被哪个模块拒绝,是什么原因被拒绝,以便快速定位配置错误,也可用来测试一些规则是否生效
二层直通:开启后数据包将在二层被BYPASS
AF设备透明模式,虚拟网线部署模式下,开启二层直通所有模块(包含IPS,WAF,DOS,僵尸网络等)都会失效
截止标准版本AF8.0.32,设备路由模式部署下,开启二层直通没有效果
