选择区域语言: EN CN HK

H3C SecPath AFC2000系列 用户FAQ-5W102

手册下载

H3C SecPath AFC2000系列用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2018新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 


 

1 软件类FAQ·· 1

旁路环境linux主机牵引后不通,重启后正常?·· 1

如何删除主机列表中非墙下主机/主机范围?·· 1

产品是否支持设置多个管理地址?·· 2

为什么日志记录中记录的主机数比主机列表中多?·· 2

产品监控的流量跟其他设备监控不同之处?·· 2

规格指标类FAQ· 2

2 H3C SecPath AFC 产品支持的通道数目是多少?·· 2

H3C SecPath AFC 产品支持的防护主机数目是多少?·· 2

3 业务功能类FAQ·· 2

40G 设备,设置报文捕捉数目为100,抓到了400条报文将近100KB,报文前100条正常,后面300条是异常broadcast报文。·· 2

数据分析--屏蔽分析,查询行中第一个显示为“连接”,但是实践操作中使用远程地址则无法过滤查询结果。·· 3

系统管->日志管理->直接点击“下载”按钮获取的日志只有部分,不是所有的日志·· 3

状态监控>防护范围>导入文件,对导入的文件格式不作检验,格式不正确也可提交成功,但是会导致之前配置的防护范围消失。·· 3

墙下服务器能ping通外网地址,但是无法上网?·· 3

机列表只显示流量,而且全部过滤,但是不显示各种报文频率?·· 3

产品出现过滤后流量大与过滤前原因?·· 3

设置了告警邮件但是没有发送邮件?·· 4

主机过滤状态下正常,为什么忽略状态却丢包?·· 4

勾选了“拒绝国外访问”,还是有国外IP地址能过墙?·· 4

产品过滤模式,在设置策略正确时无法访问墙下主机或者访问较慢?·· 5

墙下服务器上网正常但是测速上不去,跳过产品就正常?·· 5

由于数据包被分片导致无法访问服务器网站?·· 6

规则中频率限制参数达到后没有屏蔽?·· 8

开启web插件后网站无法完成支付业务如何处理?·· 8

开启web插件但是没有填写任何参数网站却无法访问?·· 8

为什么域名添加到黑名单还是可以打开?·· 9

主机触发了ICMP防护但是还是可以ping通?·· 9

UDP端口保护集中没有设置报文频率限制参数但是屏蔽列表有此屏蔽原因?·· 10

4 其他常见问题类FAQ·· 10

如何释放主机屏蔽列表?·· 10

如何将访问黑名单域名的客户端跳转到指定网站?·· 10

如何从AFC上面看某个IP是否存在攻击,是什么类型攻击·· 11

 


H3C SecPath AFC用户FAQ

本文档介绍H3C SecPath AFC的用户常见问题及解答。

软件类FAQ

旁路环境linux主机牵引后不通,重启后正常?

因为linux主机在启动过程中发送一个Gratuitous ARP,叫免费ARP

如下图数据包,目的地址和自己一样,在DDOS接收到此数据包后,学习到了主机的MAC地址,所以导致不通。

http://172.16.13.125/phpmyfaq/images/QQ%E5%9B%BE%E7%89%8720151231102003.png

 

如何删除主机列表中非墙下主机/主机范围?

·     删除主机

第一步:进入主机设置视图,【状态监控】 【主机状态】→点击需要删除的“IP地址” 【主机设置】;

第二步:填写需要删除的IPIP范围,“主机地址”填写需要删除的IP或者IP范围(地址格式如下,请根据实际情况修改);

地址范围格式:192.168.1.1-192.168.1.255

第三步:删除操作,勾选“有效”→ 【提交】。

 

附注:“防护范围”功能可控制主机在主机列表中的显示,删除防护范围中对应的IP范围,主机列表中的IP地址也会相继删除。

产品是否支持设置多个管理地址?

可以设置多个管理IP地址,但是不能设置多个网关,DDOS设备无法进行路由策略选路,设置多个网关会导致设备无法管理。

为什么日志记录中记录的主机数比主机列表中多?

(1)      旁路版本中某IP如果在主机列表被删除,此时日志仍然后记录此IP,在24小时内如果此IP没有数据,日志将不在记录;

(2)      某主机IP存在双向流量时才会加入主机列表,但是只要有单向流量,日志就会记录。

产品监控的流量跟其他设备监控不同之处?

(1)     抗拒绝设备在统计流量的时候会统计帧间隙的大小,其他网络设备可能不会统计(每个数据包互联网帧间隙共20byte);

(2)      抗拒绝设备流量图是统计五分钟的最大值,其他设备可能统计的是平均值。

附注:SNMP获取方式原理一般是通过当前采集到的接口统计减去上次采集的接口统计除以采集时间间隔的方式计算流量大小(此方式对于脉冲攻击误差很大)

规格指标类FAQ

H3C SecPath AFC 产品支持的通道数目是多少?

·     H3C SecPath AFC 2020:支持2条(千兆链路通道)

·     H3C SecPath AFC 2040:支持4条(千兆链路通道)

·     H3C SecPath AFC 2100:支持1条(万兆链路通道)

·     H3C SecPath AFC 2200:支持2条(万兆链路通道)

H3C SecPath AFC 产品支持的防护主机数目是多少?

103万。

业务功能类FAQ

40G 设备,设置报文捕捉数目为100,抓到了400条报文将近100KB,报文前100条正常,后面300条是异常broadcast报文。

·     事件原因

捕捉数目设置100,则每个单元捕捉100个报文。若有2个单元则捕捉200个报文,若有4个单元捕捉400个报文。

·     解决方法

无,设计如此。

数据分析--屏蔽分析,查询行中第一个显示为“连接”,但是实践操作中使用远程地址则无法过滤查询结果。

·     事件原因

使用远程地址作为查询条件,远程IP前要加"-"

·     解决方法

使用本地地址查询。直接输入本地IP即可。

使用远程地址查询,远程IP前要加"-"

系统管理->日志管理->直接点击“下载”按钮获取的日志只有部分,不是所有的日志

·     事件原因

不设定条件直接下载默认只下载首页500条记录。

·     解决方法

设置日志查询条件,即可下载所有检索到的日志。

状态监控>防护范围>导入文件,对导入的文件格式不作检验,格式不正确也可提交成功,但是会导致之前配置的防护范围消失。

·     事件原因

系统不检验导入文件内容。

·     解决方法

先导出主机防护范围,然后按照模板修改防护范围,之后再把防护范围导入系统。

墙下服务器能ping通外网地址,但是无法上网?

·     事件原因

该主机TCP端口集0-65535端口全部做了防护,在访问外网的时候回的数据包被拦截。

·     解决方法

删除防护设置,只添加业务端口的防护。

主机列表只显示流量,而且全部过滤,但是不显示各种报文频率?

·     事件原因

固定源攻击,而且总攻击报文触发了全局报文频率紧急状态的1/8

·     解决方法

【防御配置】→【全局参数】→调大【报文频率紧急状态】阀值。

产品出现过滤后流量大与过滤前原因?

H3C SecPath AFC 产品过滤情况下,在客户端与服务器建立连接之前会先进行代理,代理的流量会被统计到过滤后流量中。

·     输出过滤后流量比输出流量大

H3C SecPath AFC 产品跟客户端代理建立三次握手时,设备发的“syn+ack”报文会统计到“输出过滤后”里。

·     输入过滤后流量比输入流量大

H3C SecPath AFC 产品跟服务器代理建立三次握手时,设备发的“syn”和“ack”报文会统计到输入方向“过滤后”流量内。

设置了告警邮件但是没有发送邮件?

·     事件原因

(1)     SMTP服务器不可用,更换SMTP服务器;

(2)     用户名密码填写错误;

(3)     上层做了限制,AFCDNS服务器地址、邮件服务器地址不通;

(4)     AFC上没有设置DNS

DNS地址配置方法:

【系统管理】→【设备管理】→填写“地址(例如:114.114.114.114)”→【设置DNS

 

(5)     没有触发防护状态或者“通知触发流量”阀值(部分版本)

DDOS上此功能模块发送邮件的条件是:触发防护状态并且达到“通知触发流量”阈值(部分版本),而且如果触发防护状态时没有达到“通知触发流量”阈值,后流量再达到阈值也不会发送邮件。

主机过滤状态下正常,为什么忽略状态却丢包?

·     事件原因

全局参数中设置了“忽略主机流量限制”参数(默认10Mbps)。

·     解决方法

【防御配置】→【全局参数】→将“忽略主机流量限制”参数调大。

勾选了“拒绝国外访问”,还是有国外IP地址能过墙?

(1)     国外IP地址段变更,AFC内国外IP地址库没有更新;

(2)     国外IP地址在访问墙下主机时验证通过(进入了信任列表),会增加该IP的权重值,当权重值较高时,设备会放行该IP,所以出现有国外IP的连接。

产品过滤模式,在设置策略正确时无法访问墙下主机或者访问较慢?

·     事件原因

设备和本地同时抓包,发现在设备转发数据的时候修改了MAC地址导致(临时更换服务,设备缓存了原始的mac地址导致)。

·     解决方法

方法1:在主机设置里添加修改后的MAC地址;

 

方法2:将故障主机从主机列表删除,重新添加。

墙下服务器上网正常但是测速上不去,跳过产品就正常?

(1)     H3C Secpath AFC产品主机设置了流量策略(流控),将此参数阀值调大可解决。

 

(2)     测速的数据是下载一些固定内容的数据,触发了全局参数“简单过滤流量限制”,将此参数阀值调大可解决。

 

由于数据包被分片导致无法访问服务器网站?

此类问题在主机忽略状态下都能正常访问,但是过滤模式下就无法访问。

·     HTTP头部识别错误

TCP端口集协议选择“HTTP”,勾选“接受协议”。有些数据包过大而分片,分片后可能单个数据包中HTTP头部信息不全,墙会直接RST此类数据导致无法访问网站。取消协议选择并去掉接受协议勾选。

http://192.168.2.33/crm/Uploads/ueditor/71/20140911/4b7de88c96d3817675d32ec1d89f373b.jpg

 

·     域名检测错误

前置条件:TCP端口集设置了域名审计,全局DomainAudit.AuditMode设置参数10

故障原因:数据包被分片,分片后host部分被分成两个或者多个数据包,会导致AFC设备域名检测时,检测结果与域名列表添加的域名不符,导致拦截,使得客户端无法打开网站;

解决办法:取消域名审计,或者将分片后的域名添加到域名白名单;

故障示例:如图,host部分xywl.9cgames.com被分成xywl.9cgames.com两部分。

 

·     数据包丢失检测不通过

数据包被分片后在墙上只能抓到一部分数据包,导致get数据不完整。设备验证不通过,直接丢弃。此种情况可能是客户端存在其他网络设备MSS值比较小,一部分数据没有传输过来。在不动客户端的情况下,目前只能做放行或者忽略解决。

 

附注:有些用户设备上有安全狗,关闭了mtu的路径发现。mtu路径发现关闭后会造成一方不参与MSS协商,采用默认MSS进行应答。默认以536 type进行切片。MSS TCP选项中最经常出现,也是最早出现的选项。MSS选项占4 byteMSS是每一个TCP报文段中数据字段的最大长度,注意:只是数据部分的字段,不包括TCP的头部。TCP在三次握手中,每一方都会通告其期望收到的MSSMSS只出现在SYN数据包中),如果一方不接受另一方的MSS值则定为默认值536byte

规则中频率限制参数达到后没有屏蔽?

(1)     此功能模块必须是TCP协议,而且模式匹配内容不能为空;

(2)     统计ID大于16才会屏蔽;

(3)     访问频率和连接限制这两个参数均是弹性参数值,并不是设置1,大于1个连接就会屏蔽,在正常流量状态下,频率填写为1,触发匹配值在45-60之间,频率填写为10,匹配值在55-70 之间。

 

开启web插件后网站无法完成支付业务如何处理?

·     事件原因

开启web插件后支付数据无法通过web插件的验证,导致无法完成支付。

·     解决方法

【攻击防御】→ 【全局参数】 WEB.Special”中放行支付特征。常见支付特征:

(1)     支付宝:User-Agent: Mozilla/4.0\r\n

(2)     快钱支付:Jakarta Commons-HttpClient/3.0-rc3\r\n

(3)     其他支付特征常见的还有paymoney

开启web插件但是没有填写任何参数网站却无法访问?

开启web插件之后,任何http请求包的URL长度,超过1000字节设备会拦截此IP的访问。

http://172.16.13.125/phpmyfaq/images/7777.png

 

为什么域名添加到黑名单还是可以打开?

故障原因:

·     域名列表中域名添加错误;

·     域名对应的IP不在主机列表中;

·     域名管理中添加了“+.cn”,“+.com”,“+www”,“+.”等;

·     检查抗拒绝设备配置错误。

配置检查方法:

(1)      域名使用的端口在主机对应TCP端口集中未开启域名审计;

(2)     规则集、黑白名单做了放行;

(3)      全局DomainAudit.AuditMode参数设置是否正确;

(4)     DomainAudit.AuditMode  通过设置不同的值用来控制域名审计的行为。

参数值含义说明:

参数0默认参数,不执行域名审计,不检查域名列表,允许IP地址和域名访问。

参数19参数1允许通过IP地址直接访问网站,但禁止域名点数超过10的长域名,不检查域名管理中的域名列表,不在域名列表或加入黑名单的域名也可以访问。若不想通过IP地址直接访问网站,请用设置变量值 9 ,其它不变。

参数210参数2允许通过IP地址直接访问网站,但禁止域名点数超过10的长域名,检查域名管理中的域名列表,只允许域名列表里加入白名单的域名访问,不在列表里或加入黑名单的域名不能访问。若不想通过IP地址直接访问网站,请用设置变量值 10,其它不变。

参数311参数3允许通过IP地址直接访问网站,但禁止域名点数超过10的长域名,检查域名管理中的域名列表,允许域名列表里加入白名单的域名访问,且可以自动添加新识别的域名,最多添加65536个,但加入黑名单的域名不可访问。若不想通过IP地址直接访问网站,请用设置变量值11,其它不变。

主机触发了ICMP防护但是还是可以ping通?

因为设备“ICMP连接空闲超时”参数,在此参数时间内存在已经正常ping的数据包(有正常应答),触发了ICMP参数还是可以继续ping通。

UDP端口保护集中没有设置报文频率限制参数但是屏蔽列表有此屏蔽原因?

报文超出全局参数中UDP阈值的50倍时也会出现此屏蔽原因。

其他常见问题类FAQ

描述以上不能涵盖的与产品相关的常见问题以及解答。

如何释放主机屏蔽列表?

(1)     点击“状态监控” “屏蔽记录”,在“选择连接”输入设备下主机,如192.168.0.1 或者192.168.0.1/24,选择之后,点击“重置”即可释放。

(2)     释放远程单个IP,可以在“选择连接”输入IP,如10.10.10.1,选择之后点击“重置”按钮;

(3)     释放所有被屏蔽的IP,可以在“全局参数” “屏蔽持续时间”将数值设置为0即可释放掉。

如何将访问黑名单域名的客户端跳转到指定网站?

 

启用域名跳转,首先需在“TCP端口保护”里开启域名审计,并且此服务器IP绑定的域名在域名管理的黑名单里,当客户端访问此域名就会跳转到指定的网站上面。

如何从AFC上面看某个IP是否存在攻击,是什么类型攻击

 

一般在主机状态下,某个主机左侧显示的[SYN]即是当时受到的攻击。图中<TCP>即触发了TCP插件(CC攻击防御)。具体攻击信息可通过“服务支持” “报文捕捉”抓取实时数据包进行查看。