- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath W2000-G2[AK][G510][V-G2][CN]系列Web应用防火墙 故障处理手册(E6701 E6702 R6702)-5W106-整本手册.pdf (1.58 MB)
H3C SecPath W2000-G2[AK4X5][G510][V-G2][CN]系列Web应用防火墙
故障处理手册
Copyright © 2025新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
4.1 Windows 防护端在server2008R2上安装后,无法探测,重装也没用
4.4 设备串联或旁路后,网络正常,服务器可正常访问,但是防护设备上无访问日志和攻击日志。
4.15 linux防篡改卸载不干净,提示libwrapperio.so未找到
4.17 在linux系统的服务器上安装/卸载agent时,提示需要重启客户端服务器
本文档介绍Web应用防火墙常见故障的诊断及处理措施。
本文档适用于用户、系统管理员在产品使用过程中出现的故障处理及注意事项
系统正常运行时,建议您在添加任务后,请勿进行关机重启等操作,以免影响其它用户正在执行的任务,避免造成任务中断,任务停止,影响其它用户使用。
设备正常运行时,建议您在完成重要功能的配置后,及时保存并备份当前配置,以免设备出现故障后配置丢失。建议您定期将配置文件备份至远程服务器上,以便故障发生后能够迅速恢复配置。
在进行故障诊断和处理时,请注意以下事项:
· 系统出现故障时,请尽可能全面、详细地记录现场信息(包括但不限于以下内容),收集信息越全面、越详细,越有利于故障的快速定位。
¡ 记录具体的故障现象、故障时间、配置信息。
¡ 记录完整的网络拓扑,包括组网图、端口连接关系、故障时间,故障功能模块。
¡ 查看系统信息和诊断信息。
¡ 记录设备故障时单板、电源、风扇指示灯的状态,或给现场设备拍照记录。
¡ 记录现场采取的故障处理措施和后台执行操作(比如配置操作、插拔线缆、手工重启设备)及实施后的现象效果。
¡ 记录故障处理过程中配置的所有命令行显示信息。
· 更换和维护设备部件时,请关机并摘除电源以确保您和设备的安全。
· 故障处理过程中如需更换硬件部件,请参考与软件版本对应的版本说明书,确保新硬件部件和软件版本的兼容性。
使用过程中,常见故障问题,请参考以下故障处理解决办法,若您遇到的问题不在以下故障处理范围内,或者当故障无法自行解决时,请详细记录故障信息、故障现象等,并和技术支持人员沟通,进行故障定位分析,获取解决办法。
用户支持邮箱:[email protected]
技术支持热线电话:400-810-0504(手机、固话均可拨打)
故障的处理难以根据现象直接推导出故障原因,不同原因可能会导致相同的故障现象。本节提供的故障处理流程主要用于指导用户科学地处理故障,有效地将故障范围缩小。从而达到提高故障处理效率,减少处理时间的目的。
系统化的故障处理,有利于将大型、综合、复杂的现象分隔缩小范围,从而达到对故障现象的准确定位。
图1-1 故障处理流程
· 信息收集:发生故障后应该第一时间收集故障的相关信息,而不是盲目的进行故障恢复。
· 故障定位:根据收集的故障信息,进行故障的初步定位,从而有效的缩小故障的范围。
· 列举可能原因:根据定位后的结果,列出所有的可能原因。
· 制定方案:以故障原因的可能性大小,辅助参考是否容易实施,制定故障排查的顺序,同时每种原因也要制订故障排查方案。
· 故障排查:按照方案依次进行故障的排查,根据排查结果决定是否继续排查下一个原因。
· 恢复初始状态:在排除特定故障后,如果没有解决问题,需要恢复为故障的初始状态,避免引入其它故障。
· 故障记录:完成故障处理后,需要将故障排查过程进行文档化记录,以便故障排查经验的记录和传递。
从受故障影响的用户收到报告,并收集到一些故障现象后。还需要从其它相关用户那里继续收集有用的信息,以辅助进行定位判断。通常需要确认:
(1) 发生故障时是否修改了配置?
(2) 设备在正常情况下的工作状态?
(3) 发生故障前,用户可能做了哪些操作,操作的顺序是怎样的?
将故障处理的过程进行文档化是故障处理的最后一步,完整清晰的文字记录有助于对故障处理经验的积累和传递。记录中需要包含本次故障处理的全部信息,通常包含:
(1) 故障现象描述及收集的相关信息。
(2) 网络拓扑图绘制。
(3) 故障发生的可能原因。
(4) 对每一种可能原因制定的方案和实施结果。
WAF的Web管理页面无法正常登录。
(1) 首先使用网络诊断工具ping WAF的管理地址,检查WAF是否存活;
(2) 如果ping不通,可通过串口登录WAF后台(登录名:admin,密码:admin),使用bridge -S命令查看管理桥IP是否丢失;若丢失,使用MngtBridge作为管理桥,管理IP为183.1.4.230,可通过命令行bridge -A -v MngtBridge -f 183.1.4.230 -m 255.255.255.0 -n y(注意一定要加上-n y ,否则无法登录该管理地址)将地址重新添加上;
(3) 若管理口IP未丢失,但是仍ping不通,可使用remote -S命令查看管理PC是否在信任主机权限内;若管理PC不在信任主机权限内,可通过remote -A -t web -i 101.1.36.0 -m 255.255.255.0;
(4) 若可以ping通管理口IP,但登录不了页面,可登录WAF后台,使用websslport -G命令查看是否https的端口号被修改了;如果被修改为非443端口,可通过websslport -S -p 443将其修改恢复;
(5) 如果按上述操作仍然无法登录WAF的Web管理页面,请搜集信息并发送给技术支持人员协助分析。
上传License失败时通常会有提示信息,请根据提示信息处理。
上传License文件时提示出错,上传失败。
(1) 检查确认License文件是否匹配设备产品信息,如设备序列号及设备硬件信息,如果有问题请重新申请License文件;
(2) 检查确认License文件是否出现损坏等情况,如果有问题请重新申请License文件;
(3) 检查确认License是否过期,如果过期请续购License;
(4) 如果按上述操作仍然无法成功导入License文件,请搜集信息并发送给技术支持人员协助分析。
排查思路:
(1) 确认Server2008R2是否装了SP1安全补丁。如没有需要依次安装以下①②提到的补丁;
(2) 如打了SP1补丁,确认有无打39029补丁,如无打上39029补丁即可。
解决方法:
windows防护端因为替换了代码签名,对winserver2008R2系统有要求,windows Server 2008 R2版本没有打相应微软要求的安全补丁会导致安装驱动提示错误。
①补丁SP1:https://www.microsoft.com/zh-cn/download/details.aspx?id=5842;
②补丁39029:
32位系统补丁:http://www.wosign.com/download/Windows6.1-KB3033929-x86.zip;
64位系统补丁:http://www.wosign.com/download/Windows6.1-KB3033929-x64.zip。
先要求打了SP1的安全补丁,再要求打39029补丁,如果系统本身已经是SP1版本的情况下,直接打39029补丁即可。
登录系统后,菜单栏只显示出主页面栏,未显示相关配置等栏。
出现此问题原因是设备未导入授权或授权文件已过期,在主页面>许可证管理>升级许可信息,进行授权文件导入。
在设备串联部署在交换机和服务器之间时,导致网络无法联通,服务器无法访问;
(1) 检查网络配置以及插线情况。
(2) 检查询问网络环境的特殊性。
(1) 检查网桥地址是否存在冲突。地址冲突会导致流量不能正常经过Web应用防火墙。
(2) 检查网关配置是否有误,错误的网关地址导致流量不能正常传输。
(3) 检查网络接口是否连接有误,错误的网桥接口和插线的接口不对应导致流量不能正常传输。
(4) 检查网络环境中是否有链路聚合或者trunk模式环境,如果存在,需要在WAF上相应地配置channel模式或者trunk模式。
WAF设备上未产生防护服务器的访问日志或防护日志。
(1) 检查服务器管理配置。
(2) 检查防护策略配置。
(1) 检查服务器管理中的服务器ip地址和服务器的端口号是否填写错误,错误的ip地址/端口号会导致无法防护和记录日志。
(2) 检查服务器管理中的部署模式和防护模式是否配置错误,选取错误的部署模式和防护模式会导致无法防护和记录日志。
(3) 检查服务器管理中的接口是否配置错误,选择错误的接口会导致无法防护和记录日志。
(4) 检查是否开启防护策略,未开启防护策略会导致无法记录日志。
(5) 检查访问日志是否选择开启,未开启访问日志,将不会记录日志。
(6) 上述现象都未出现,进行抓包检查流量和访问情况;若只有arp包,再对Web应用防火墙进行网络配置检查;若有正常的数据包,针对具体数据包情况进行分析。
Web界面登录用户,提示账户被锁定,请联系管理员。
图4-1 用户被锁定
account管理员登录后找到对应的用户,解除锁定或者重置密码都可。
(1) account管理员登录Web管理端,检查该账号是否由于输入错误的密码超过限定次数后导致,用户管理>封禁列表,查看该账号是否在封禁用户列表中。
图4-2 开启被锁定账户
(2) 如果在封禁用户列表中,选中该用户并点击“解除封禁”即可解除锁定。
(3) 如果用户无法回忆起密码,可以选择重置密码,方法是:在用户管理中选中该用户点击“重置密码”按钮,输入新密码
图4-3 重置密码
部分站点和url无法正常访问/数据无法上传等现象。
(1) 检查确认是否由匹配WAF规则导致的。
(2) 如果是WAF规则导致的,排除/不启用误拦截的规则。
(1) 检查访问控制>黑名单/URL黑名单是否误配了,如果是误配了,删除即可;
(2) 对站点停用Web防护策略,再进行访问测试,确认是否由WAF的Web防护规则导致的;
(3) 检查日志报表>防护日志, 查看是否有相应URL的阻断日志,若攻击日志较多或刷新较快,可通过防护日志的条件进行站点/目的URL过滤查询,找到相关攻击类型、处理动作、规则名称,根据规则名称/规则号在Web防护策略中不启用相关规则或者设置更合适的处理动作即可;
(4) 如果上述操作仍不能解决正常业务访问被WAF阻断的情况,请在系统管理>运维工具>一键诊断,点击“生成”按钮完成一键信息收集并发送给技术支持人员协助分析。
图4-4 一键信息收集
浏览器访问平台链接地址后,提示此证书存在安全问题。
图4-5 浏览器访问证书问题
图4-6 浏览器访问证书问题
点击继续浏览即可。
点击“继续跳转到网页”,此问题是由于产品的HTTPS证书不是公有证书,浏览器默认不认可私有证书导致。选择“继续”不会对浏览器有影响。
WAF部署为透明模式且进、出口使用一对Bypass口时,当出现网络故障时可以将WAF切换为Bypass状态,用于初步判断是否是WAF出现故障。当WAF切换到Bypass状态后,设备进、出两个网络接口呈短路状态,WAF不再处理过往的流量。
可在“高可用性> Bypass”页面,打开Bypass,并点击保存。
图4-7 启用Bypass
当发生的问题通过排查无法解决。
可在“系统管理>运维工具>一键诊断”页面,点击生成按钮,待生成完成后,点击保存,将该文件发送给技术支持人员协助分析。
图4-8 WAF生成技术支持文件
WAF使用过程中出现CPU、内存较高的情况。
由于导致CPU和内存较高的情况较为复杂,从Web页面较难分析出具体原因,因此建议按照具体情况的紧急性采取对应措施。
(1) 如果CPU、内存较高时,导致正常业务流量受到影响,针对特别紧急且采用透明模式部署的情况,在确认链路采用BYPASS对接口的情况下可以直接强制BYPASS,使WAF不再处理过往的流量,具体步骤可参照4.8小节;
(2) 如果CPU、内存较高时,情况没有特别紧急,建议参照4.8小节收集技术支持文件,将该文件发送给技术支持人员协助分析。
已部署、配置好WAF,并且已配置、启用了所需的相关策略,在没有攻击的情况下如何判断WAF已生效。
由于WAF对于Web访问行为的记录是与“防护资产”关联的,因此,可以通过开启访问日志记录并查看是否产生访问日志来判断WAF是否已生效。
(1) 在“基础配置>防护资产”中,编辑相应的防护资产,访问日志选择开启,并点击保存;
图4-9 启用记录Web访问日志
(2) 当有访问流量经过WAF时,点击“日志系统>访问日志”进行查看,如果产生了访问日志,说明WAF的防护功能已经生效。
图4-10 查看访问日志
业务经WAF设备转发时存在丢包故障。
(1) 分别在停用、启用策略情况下,在业务的流入和流出口进行抓包对比,查看是否是硬件、组网等非软件问题导致的;
(2) 抓包方法:点击“系统管理>运维工具>>tcpdump”页面,选择需要抓包的协议类型、数据条目、接口、类别、主机IP/域名,点击启动,抓包完成后点击停止按钮,并点击保存按钮导出抓包文件进行查看;
图4-11 使用tcpdump抓包
(3) 分析抓包文件后,如果确认是某些策略开启导致的,可逐个关闭相应策略,缩小问题范围,最终定位问题原因;
(4) 如果按上述操作仍然排查不出丢包故障的原因,请搜集信息并发送给技术支持人员协助分析。
正常的业务访问被WAF阻断。
(1) 针对特别紧急且采用透明模式部署的情况,在确认链路采用BYPASS对接口的情况下可以直接强制BYPASS,使WAF不再处理过往的流量,具体步骤可参照4.8小节;
(2) 针对不是特别紧急的情况,可以在日志中使用条件选项进行过滤查询,可以根据时间、IP等选项进行过滤,查看对应日志;
图4-12 在日志中过滤查询
(3) 在过滤后的日志中查看是否有阻拦动作的日志,如果有,可以根据该日志条目的攻击类别进行例外添加或功能关闭,再进一步查看业务状态是否正常;
(4) 如果按上述操作仍不能解决正常业务访问被WAF阻断的情况,请搜集信息并发送给技术支持人员协助分析。
邮件告警中含有中文字符,部分邮箱存在日志乱码现象。
通常与邮件服务器使用的编码格式有关,建议将编码格式设置成UTF-8。
Linux防篡改卸载的时候,提示rm :error while loading share libraries : libwrapperio.so: cannot open shared object file :No such file or directory,或者提示总线(bus)错误。
重启机器后,无法进入图形化界面,ssh连接不了,提示:error while loading share libraries : libwrapperio.so。
此问题多由于系统缺少sed命令,导致4个系统配置文件里的内容没卸载干净。但实际上lib库已经删除了,所以导致重启出现问题。
解决办法:
如能正常操作,在命令行下正常操作即可。如不能正常操作,进单用户模式下再行操作,修改下列4个文件:
删除掉export LD_PRELOAD=/usr/local/lib/libwrapperio.so那一行(一般在最后一行),profile和bashrc文件中数据应该在最后一行,删除完后重启服务器即可解决问题。若提示由于libwrapperio.so无法找到而无法使用vi命令,则输入以下命令,:export LD_PRELOAD=,就可以操作系统命令。
(1) vi /etc/profile
图4-13 删除相关信息
(2) vi /etc/environment
图4-14 删除相关信息
(3) vi /root/.bashrc
图4-15 删除相关信息
(4) vi /etc/bashrc
(1) 在开始程序运行regedit;
(2) 在如下截图目录下删除wkas对应(防篡改端-windows)注册表,删除完重新安装即可。
图4-17 删除对应注册表
(1) 安装的agent是在E6203版本之前的网页防篡改管理端下载的,安装和卸载会提示需要重启linux服务器,需要进行重启操作。
(2) 进入网页防篡改管理端下载对应的agent进行安装和卸载。
4端口万兆光或4端口万兆光(带2对bypass,多模)可能会出现光口无法up问题,需通过升级插卡固件版本解决。
所需工具:
· 需要8G以上U盘;
· 带USB口的键盘与显示器;(若无显示器和键盘,可直接连接串口)
· 固件升级包,请在官网R6203版本路径下获取:
¡ 用于制作U盘镜像:FW8.15 Linux盘USB-密12345678.img
MD5:60B4C68D38765266E33430013BF43390
¡ 用于制作U盘软件包:usbit.zip
MD5:51FC107634689D18E909AD91B475238F
注意:若是暂时没有条件进行固件升级时,可以先在waf物理口上插上光模块和光纤保证物理可通后,启动waf设备 。
4端口万兆光或4端口万兆光(带2对bypass,多模)可能会出现光口无法up问题。
(1) 进入文件夹usbit,双击运行USB Image Tool.exe。
图5-1 运行USB Image Tool
(2) 将需要做系统的U盘插在设备上(U盘需要8GB以上)。
(3) 出现下图,选中U盘,然后点击恢复按钮选择镜像“FW8.15 Linux盘USB-密12345678.img”,选择打开,然后点击“是”按钮。注:图片中镜像仅为举例,以实际镜像为准。
图5-2 安装运行USB Image Tool
下图是正在恢复镜像中… 等待进度条走完即可。
图5-3 安装中
如下图,表示U盘系统做完。拔掉U盘,将U盘插上设备的USB口上,开机按键盘“Del”进BIOS。
图5-4 安装完成
(4) 插入键盘和显示器(或直接连接串口,波特率是115200),启动设备后点击delete键进入bios界面,如下图是BIOS页面,使用左右上下箭头进行切换,在boot那一列选择BOOT Option1为USB的U盘启动,最后按键盘F4或者选择BIOS下Save & Exit的Save Changes and Exit。保存退出。设备自动重启从U盘启动进系统。
图5-5 设置USB的U盘启动
(5) 进入系统后,系统用户名root,密码12345678。
图5-6 登录设备
(6) 输入ls查看系统下文件如下图。
图5-7 查看系统文件
(7) 插上需要被升级的4端口以太网万兆光口卡。
(1) 输入cd 700Series/Linux_x64进入/700Series/Linux_x64路径下。
(2) 执行# ./nvmupdate64e -u -l -o update.xml -c nvmupdate.cfg 如下图。
图5-8 执行# ./nvmupdate64e -u -l -o update.xml -c nvmupdate.cfg
(3) 当出现下图界面表示升级成功。之后reboot系统。
图5-9 准备重启
(4) 重启后找到万兆网卡对应网卡的网口名字,”ethtool -i 网口号”查看firmware-version版本号。
如下图显示升级到8.15版本OK。
图5-10 升级到8.15版本
(5) 复验下MAC地址是否有在。
图5-11 复验下MAC地址
(6) 确认OK,则表示使用linux环境升级firmware固件成功。
双电源插槽,PWR1无法插入。
(1) 如果PWR1无法插入,建议使劲用力插入,或者从电源模块的上边框或者下边框45度方向用力使劲推入。
硬件设备串口无输出,长按关机键无法关机。
(1) 断电并等待1分钟左右,重新上电开机。
重启或升级设备时直接进入硬件设备SHELL界面,未进入软件系统。
(1) 尝试多次断电并等待1分钟左右,重新上电开机。
硬件设备出现异常重启,硬件BIOS的CPU微码版本较低。
(1) 联系技术工程师获取制作新BIOS方法进行刷新。
硬件设备偶现接口震荡,硬件BIOS的BIOS版本较低。
(1) 联系技术工程师获取制作新BIOS方法进行刷新。
海光款型硬件(W2000-CN20/CN40/CN80/E20/E80)CPU可能会出现运行1044天左右宕机问题,需通过设置硬件bios解决。
所需工具:
· 需要usb转rj45的串口线;
海光款型硬件(W2000-CN20/CN40/CN80/E20/E80)CPU可能会出现运行1044天左右宕机问题。
(1) 串口线一端连接设备console上,一端连接电脑上,点击我的电脑,选择计算机管理-设备管理器,查看COM口。
图5-12 查看电脑中端口
(2) 使用ssh工具,本次以SecureCRT工具举例,波特率选择为115200。
图5-13 配置波特率
(1) 连接串口后,设备开机后按delete进入bios界面。选择:高级--CPU C-State控制-- <关闭>。
图5-14 高级--CPU C-State控制-- <关闭>
(2) 选择:高级--海光设置---Moksha常用选项--CPU C状态控制 --<禁用>。
图5-15 高级--海光设置---Moksha常用选项--CPU C状态控制 --<禁用>
(3) 设置完后选择“退出”页,选择“保存退出”。
图5-16 保存退出
(4) 设备重新开机,进入软件系统。
|
命令 |
说明 |
|
help |
命令说明帮助按钮 |
|
bridge –S和port-S |
显示当前网络接口信息 |
|
ping |
检查网络是否连通 |
|
route -S |
检查路由信息 |
|
reboot -R |
重启 |
|
display-version |
查看系统信息 |
支持
