- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath ACG1000系列应用控制网关
用户FAQ
Copyright © 2025新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
R6612版本升级到R6614版本后系统日志、操作日志及审计日志当天的日志都丢失?
设备从R6616以下版本升级到R6616版本,进行了日志恢复,后续又回退到R6616以下版本,之前在R6616上新产生的日志能看到吗?
设备从R6616以下版本升级到R6616版本,进行了日志恢复,再降级到R6616以下版本恢复出厂并重新生成日志后再升级到R6616版本,日志还会恢复吗?
从系统正常到掉电进入Bypass状态时,会丢几个ICMP报文?
零配置启动盘里根目录下的version和序列号文件夹里version有什么差别?
在使用ftp方式导出配置文件时为什么配置了服务器地址和文件名称后面还提示输入服务器地址?
接口在修改地址模式为pppoe,由于达到规格下发失败时会清掉原有的静态ip或dhcp配置?
为什么管理员用户不能通过HTTP、SSH、或者Telnet登录设备,不显示web页面?
在“系统管理>管理员”,“添加管理员”页面中的"管理IP/掩码"的作用是什么?
修改https的端口后使用https的方式登录界面,再使用http方式登录失败?
手动升级相同的特征库日志和自动升级相同特征库日志记录不一致?
同一浏览器使用http和https两种方式打开管理页面进行配置,http页面无法登录?
使用同一主机下登录了一个管理员时,再打开一个管理页面输入另一个管理员密码使之超过最大登录尝试次数,原先正常登录的管理员也会被限制?
设置多个管理员,同时登录两个管理员时,若退出其中一个,另一个也会退出?
管理设定中的页面超时时间提交后不能立即生效,需要清理浏览器缓存才能生效?
RESTful API接口开关对地址对象中any地址对象的引用说明?
管理员登录WEB页面后,首页没有加载完点击其他标签页概率性退出了登录页面?(R6614及以上版本)
物理接口加入网桥或者聚合口后有多个地方配置MTU,以哪个配置为准?
安全域内网桥的接口跨三层互访控制或审计时,是否需要将相应网桥的BVI接口加入到安全域内?
本机访问控制中的Center-monitor管理方式是否支持IPv6?
VLAN-TRUNK功能使用限制都有哪些?(R6616及以上版本)
PPPoE功能可以支持一个PPPoE账号IPv4/IPv6同时拨号?(R6612及以上版本)
主链路选择连接方式为监控链路故障自动连接后主链路选择下拉为什么为空?
使用测试仪打单向流量,一条隧道的情况下为什么解密端cpu0核使用率很高?
IPSEC场景,DPD未开启的情况下,ipsec关联的物理接口down后,ike和ipsec sa不会跟随断开连接?
为什么通过SSL VPN拨入后,无法访问该设备的WEB页面?
为什么资源里放通FTP服务后,客户端还是无法下载FTP资源?
SSL VPN客户端因为未分配到IP地址拨号失败,但设备上会显示此在线用户?
用户配置了初次认证修改密码,SSL VPN使用此用户上线后不需修改密码?
本地证书和对端证书导入了已注销的证书,为什么客户端可以通过证书校验?
通过命令行修改SSL VPN隧道接口的配置后,相关配置会丢失?
SSL VPN用户上线后,修改SSL VPN的全局配置会导致已上线的用户全部下线吗?
终端使用IPv6地址SSL VPN连接只包含IPv4地址池的服务端,连接不成功?(R6616及以上版本)
为什么流量经过socks4代理策略时,匹配不了域名,且无需认证
为什么客户端直连的端口配置了用户认证策略,但是通过代理时不弹出认证窗口
打HTTP代理流量,同一条流Client端代理和Server端代理的会话监控里显示两条会话。
在客户端配置了HTTP代理或者SOCKS代理之后,为什么不能访问设备的页面?
代理流量匹配到控制策略中的URL控制策略或者恶意URL策略或需要推送公告的功能时,访问页面能够正常阻断,但不能弹出阻止访问的重定向URL页面。
二级代理环境下,一级代理配置URL过滤拒绝策略,为什么客户端PC访问非HTTPS对象库里的域名时,不能阻断。
高级配置中配置根据虚拟局域网VLAN的ID匹配审计策略,并配置SSL解密策略,加密的流量无法审计?
邮件日志中为何有的邮件日志对应的是下载按钮,有的邮件日志对应是查看按钮?
邮件审计日志中,客户端审计和Webmail审计的日志有什么区别?
邮箱日志和文件传输日志,下载QQ Webmail的附件失败,提示文件不存在或已删除?
审计日志导出后打开term_supplier和term_platform两列内容为空?
分别用不同操作系统(IOS版和Andriod版)终端使用pc开启的wifi进行无线上网,然后登录QQ客户端,在设备的IM聊天软件日志里都识别为Iphone IOS 版?
Web mail邮件附件为txt文件的审计,日志页面显示的正确的名称及txt后缀,但下载下来后文件后缀怎么是.tar的压缩文件?
认证用户多终端共享,即一个用户有多个IP,一个终端切换网络,其他同用户的终端都会同时切换吗?
当用户加入分时网络时,会清除用户属性中与该网络属性名相同的所有的已有属性值吗?
当用户切换网络时,对于已经进入快转的会话,由于不会进行策略重匹配,会话流量依然按照原规则进行放行或阻断,若要按照当前配置生效,则需要对话进行策略重匹配,这种情况怎么处理?
配置了*.baidu.com的自定义URL阻断,为什么无法阻断www.baidu.com.cn网站?
模糊匹配时后缀需要全匹配,且通配符只有在最前面才生效,例如:*.baidu.com,只能匹配www.baidu.com或者new.baidu.com,不能匹配www.baidu.com.cn。
如果自定义URL包含预定义组中的域名但是并未对它进行引用,对预定义中包含该URL的分类进行DNS阻断,是否会阻断?
设备上勾选了“开启URL策略支持Referer字段查询匹配”,用户访问网页时,页面依然显示不全?
配置了应用白名单后,为什么在出口抓包,可以抓取到非此应用的报文?
在应用对象页面,将鼠标连续快速划过应用名称时,应用描述显示框出现闪烁跳动?
QQ发送文件,为什么有时候显示有阻断日志,但是现象却是发送出去了?
在应用对象自定义应用中添加一个域名为www.baidu.com的应用,并将应用类选择为搜索引擎类,此时在控制策略中基于WEB搜索引擎关键字过滤时,百度搜索关键字不生效。
配置的虚拟账号阻断,应用控制放行 qq登录阻断前后会有一条放行的日志?
设备在大流量场景下,通过http协议下载文件,概率性出现文件类型过滤不生效
配置的定时推送功能,推送时间已过的情况下,新上线用户还会推送么?
配置的定时推送功能,推送时间已过,为什么没有推送出公告页面?
为什么配置基于多终端的控制策略,内网多终端用户却没有匹配控制策略?
与DDI设备联动针对终端类型进行控制时,终端型号支持显示的长度是多少?
与DDI设备联动针对终端类型进行控制时,设备重启,同步的终端类型是否会丢失?
与DDI设备联动针对终端类型进行控制时,终端类型是否支持修改?
DDI设备同步过来的终端型号是空格,为什么设备上显示为下划线?
策略分析过程中再新增或删除控制策略,策略分析结果会随新增或删除的控制策略变化吗?
HA主备环境下,策略分析在主设备上进行分析,备机会同步进行分析吗?
设备上控制策略条目配置较多,通过策略分析后,策略分析结果上问题策略数不相同,但是百分比会显示一样?
命令行开启控制应用策略匹配,只配置全通策略,不配置应用过滤,控制策略匹配不到
当设备内存使用率较高时,下发控制策略会出现设备cpu100的现象?
用户组织结构页面自定义属性下显示有用户,但在策略引用用户页面不显示自定义属性组下的用户?(R6616及以上版本)
NAT44、NAT64、NAT46、NAT66是否支持ALG?
目的NAT的目的地址配置为any时,同网段其他设备会报地址冲突
目的NAT引用地址池时,修改地址池配置,设备不会清理相关会话?
流量匹配NAT64/NAT46后,用户信息显示有误(R6612及以上版本)
HA主主配置同步组网模型下,SNAT/DNAT的地址池配置没有生效?(R6616及以上版本)
编辑链路负载均衡策略里的接口信息,将老的接口修改为新的接口,再次修改接口无法将新接口修改老的接口吗?
如果设备同时开启dns透明代理和dns-dant功能,DNS报文如何处理?
流控策略中源地址和目的地址对象区分方向吗?(R6616及以上版本)
流控策略中只通过地址对象内的排除地址排除一条流时如何配置?(R6616及以上版本)
为什么流控线路下的子通道有时会出现限速不准,流量抖动等情况?
自定义角色的普通管理员可以在流控通道内配置匹配不属于所在组的其他用户或组吗?
管理员认证方式为外部认证时,如何对外部管理员进行流控策略的分级分权?
父级管理员被删除时,对应的子级管理员和子管理员创建的通道是否会被删除?
流量详情统计中统计时间为历史日期时,统计的平均速率是如何计算的?
对单个用户进行流量控制时,为什么会出现用户排名速率和通道实时速率不一致的情况?
为什么修改系统时间为30天之后,30天之前的历史数据没有删除?
使用有的浏览器长时间打开通道详情统计页面时,会出现内存无法释放?
当设备CPU0核的使用率大于80%时,为什么流量详情统计页面不显示统计数据?
自定义角色的普通管理员可以在流控通道内配置匹配不属于所在组的其他用户或组吗?
管理员认证方式为外部认证时,如何对外部管理员进行流控策略的分级分权?
父级管理员被删除时,对应的子级管理员和子管理员创建的通道是否会被删除?
建立多条限额策略,但是同一个用户只能匹配最上面的一条策略,其余策略无法匹配?
设备开启https解密后,电脑必须要安装设备上导出的证书吗?
为什么安装证书以后,chrome浏览器访问12306网站显示非安全连接?
开启解密策略,手机安装证书后仍然一直提示不安全,点击继续后仍然会一直弹安全告警?
同一目的IP的不同域名的HTTPS流量,只要有一个域名在HTTPS对象中且解析了域名IP,另一个域名的HTTPS流量在没有建立HTTPS对象的情况下仍然可以进入解密流程。
解密支持TLS版本及涉及到的套件有哪些(R6613及以上版本)?
当新创建的广告对象与之前的广告对象重名时,新创建的广告对象中已经上传的图片被删除?
配置两条会话限制,引用的地址对象分别都包含了某个IP地址,但是会话限制的配置不同,那么该以哪一个为标准?
在配置会话限制之前,地址对象的会话总数已经超过了该会话限制的会话总数,那么配置该条会话限制后是否会将会话数保持在限制的数目下?
防共享检测方式配置为阻断或者限速,共享检测终端数量达到阈值,是否继续检测?
防共享检测用户达到阈值之后阻断用户,阻断提示有时可以弹出,有时弹不出来?
为什么终端发现趋势自定义查询时间和趋势图显示的时间范围不一致?(R6616及以上版本)
IPS升级到新IPS引擎版本,原来的IPS配置是否兼容(F6612P01及以上版本)
IPS新引擎降级到F6612P01以下版本时,哪些配置会丢失?
控制策略里引用的IPS模板会丢失。IPS模板的最大规格是多少(F6612P01及以上版本)
IPS自定义规则的最大规格是多少(F6612P01及以上版本)
IPS模板有哪些类别,有什么区别(F6612P01及以上版本)
配置文件里IPS规则保存格式的含义(F6612P01及以上版本)
IPS规则里的阻断和隔离动作,分别对报文如何处理(F6612P01及以上版本)
在大流量场景下,配置IPS日志聚合,日志中报文长度和配置的长度不一致
修改入侵检测日志告警规则,修改匹配频率大小后生成的第一条命中纪录,日志数量与实际数量会产生差别吗?(F6612P01及以上版本)
设备繁忙时通过Web页面查看入侵防御日志,点击标签页切换到“告警规则”,页面会先刷新“新建规则”的页面?
病毒防护,对于filezilla等这种支持断点续传的ftp无法阻断?
R6616版本对应的特征库后缀是否有变化?(R6616及以上版本)
设备病毒检测支持的检测方式有哪些,设备按什么优先级进行病毒检测?(R6616及以上版本)
端口扫描立即扫描范围配置过大,执行暂停操作后任务状态不会立即更新为已暂停吗?
端口扫描待执行任务到指定时间如果有其它任务在执行会如何处理?
同时存在定时任务和立即开始的任务,为什么创建的立即开始的任务条目时间会变化?
设备已存在定时任务,创建的立即开始的任务在最上面,任务扫描完成后,条目移动到定时任务下面?
端口扫描和弱密码扫描结果页面数据显示规格是多少?(R6616及以上版本)
设备升级到R6616版本后,端口扫描/弱密码扫描的兼容性说明
WEB防护日志查询条件中事件描述的字符限制是多少?(R6616及以上版本)
精确访问控制规则的匹配顺序是什么,一条精确访问控制规则内多个条件的关系是什么
Web防护精确访问控制的正则表达式配置正确,为什么设备提示语法错误?
在全局白名单中使用ip地址进行搜索时为什么没在配置ip地址范围内的ip也会搜索出来?
全局白名单的域名配置为门户网站,控制策略全拒绝时,部分网站加载不全或缓慢?
应用智能识别是什么功能,是否能保证迅雷应用和P2P应用的100%识别?
关闭WEB在线代理识别后,HTTPS网站可以识别成真实流量吗?
向地址列表中添加业务不支持的IP地址时,为什么在提交后才有提示?
HA主备环境下导入地址对象或服务对象后,出现HA主备配置不同步现象。
HA主备环境下导入地址对象或服务对象,在主设备上进行删除,会出现主备配置不同步?
导入的CSV文件中,如果一个自定义服务对象包含多个项目,且每个项目的描述信息不同,导入后,那个描述信息会生效?
通过设备导入地址对象或服务对象失败时,系统是否支持回滚,报错之前的行是否会导入?
编辑公告页面时,无法提交成功,提示页面超过2M,如何删除导入的图片、文件?
从R6613以下版本升级到R6613及以上版本后,URL控制公告页面为什么不显示新增详细信息字段?
导入本地证书、CA、CRL及国密证书后,界面显示的证书信息无规律?
导入配置文件,是否支持本地证书、CA、CRL及国密证书文件的恢复?
在R6616以下版本导出来的用户CSV文件,是否支持在R6616版本中导入恢复用户配置?(R6616及以上版本)
user-group有限制但是依然可以使用受限制的特殊字符。比如:!¥。。。。。?
在用户组织结构根目录下,选择“用户>所有页”执行批量编辑操作后,为什么其它组下的用户状态修改不成功?
认证策略中,导入认证策略与创建的策略的用户有效时间格式不一致?
将设备从R6616以下版本升级到R6616版本后,为什么自注册用户的创建属性为“管理员添加”而不是“自注册”?(R6616及以上版本)
R6611版本用户同步录入到本地的用户,升级到R6616版本后,为什么创建属性为“管理员添加”而不是对应同步录入的属性?(R6616及以上版本)
用户组绑定地址,流量匹配上线后再取消用户组绑定,用户仍然静态绑定上线?(R6616及以上版本)
设备从R6616以下版本升级到R6616版本时,串口打印错误信息,且绑定地址有丢失(R6616及以上版本)
在R6616以下版本的设备上配置用户组绑定地址录入到本地的用户,升级到R6616时用户会丢失?(R6616及以上版本)
在自定义或者预定义组下,新建用户或者用户组或者属性组,新建完成后,左树和右边用户信息会停留在新建之前的页面吗?
IPMAC绑定中配置含有SQL注入风险字符可以导入,但是在页面无法编辑修改?
在认证页面用户主动注销之后,在原来认证界面重新使用别的用户认证登录出现不录入?
设备R6616及以上版本和老版本(R6616以下版本)认证策略生效时间的差异?
认证策略临时录入用户命令行clear user-recognition?
本地已存在的用户,如果认证策略中选择录入的组不是该用户存在的用户组,认证后用户会被移动吗
用户通过认证上线后,手动修改系统时间使得用户到达有效期,用户变为禁用状态,认证用户没有下线?(R6616及以上版本)
认证策略录入用户绑定IP、MAC配置有效期,有效期过后绑定信息仍生效?(R6616及以上版本)
通过认证策略录入用户绑定的IP、MAC信息没有显示在用户的绑定范围内,但有对应用户静态绑定上线?
认证策略里的超时时间和认证方式里的超时时间哪个优先级高?认证策略里的强制重登录间隔时间和认证方式里的强制重登录间隔时间哪个优先级高?
对于已经认证上线的用户,修改认证的超时时间和强制重登录时间,会生效吗?
在R6616以下版本导出的认证策略csv文件,在R6616版本导入不成功?
在设备上配置有用户认证策略,并新建用户将PC的MAC地址绑定,为什么PC仍无法上网并重定向到认证页面?
双重认证上线后,认证用户超时时间、强制重登录间隔、无感知、页面跳转以哪个配置为准?
双重认证配置本地认证+短信认证,且启用终端注册功能,终端注册的用户审批之后不会进行双重认证?
微信认证选择小程序配置,配置首次认证是微信认证的双重认证,会进行双重认证吗?
双重认证首次认证成功之后跳转二次认证认证页面时,会小概率出现提示获取首次认证用户信息失败的情况?
无感知列表中的配置过期后没有被删除?(R6616及以上版本)
认证方式启用了无感知认证,没有开启用户MAC感知,当用户MAC地址发生变化时用户被踢下线了,无感知功能也不生效了?(R6616及以上版本)
配置Portal Server认证方式的用户录入,当imc配置推送用户组时与设备配置用户录入到用户组哪个优先?
Portal Server快速无感知认证上线的用户无法录入?
配置了认证策略,为什么终端用户访问有的网站无法弹出认证页面?
同一个终端弹出或打开了多个认证页面时,为什么有的验证码不生效?
配置认证方式的超时时间为启用,15分钟,命令行查看配置时没有显示?(R6616及以上版本)
在R6616以下版本的设备上配置用户认证的超时时间后,升级到R6616版本,超时时间都变成了15分钟?(R6616及以上版本)
本地认证,认证方式里的心跳超时和认证策略里的超时时间怎么耦合的?
导入新的自定义portal时需要先删除之前导入过的portal吗?
用户使用弹portal消除告警功能需要做的准备工作有哪些(R6613及以上版本)
弹portal消除告警和加密消除告警有什么区别(R6613及以上版本)
关闭功能和改变引用的证书对于已经登录的用户有什么影响(R6613及以上版本)
微信认证有些安卓手机连接wifi后出现不自动弹微信认证页面?
移动端弹出portal,并点击打开微信后,按认证页面提示的步骤操作后认证失败,如何定位认证失败原因,并及时修改?
微信软件版本支持哪些,为什么微信软件版本7.0.14唤醒微信失败?
微信认证默认使用的设备http端口是80,是否支持修改http端口?
微信认证配置OpenID方式,特定步骤操作手机再次登录后,为什么在线用户获取的是IP地址?(R6616及以上版本)
用户使用浏览器A获取短信验证码,在浏览器B上输入手机号和验证码,是否能短信认证成功?
双机主备环境,主设备配置短信认证,备设备是否同步短信认证的配置?
设备配置错误的DNS后再配置正确的DNS,无法进行短信认证?
短信服务器配置为HTTP协议类型如果参数配置错误,有效性检测无返回值?
单点登录,AD服务器上心跳超时和认证策略里超时时间怎么耦合的?
在设备上的在线用户中先注销二维码访客用户,再到终端注销,提示访客(IP)注销失败,为什么没有提示(用户名)注销失败?
钉钉认证相关参数配置正确的情况下,钉钉认证时,提示APP KEY和APP SECRET无效。
IC卡认证用户识别范围之外的IP以及认证匹配条件源地址没有匹配的IP也可以完成刷卡上线?
用以前老的卡机软件IC卡认证成功后,换成新的卡机的软件,IC卡无法认证成功?
进行CAS认证时,正常跳转到CAS服务器登录页面,但是页面打不开是为什么?
CAS认证上线后,在CAS服务器上注销或者禁用用户,设备上的用户会同步下线么?
OAUTH认证上线后,在OAUTH服务器上注销或者禁用用户,设备上的用户会同步下线么?
OAUTH服务器名称与数据库服务器名称相同时,可以创建成功吗?
用户OAUTH认证成功后,用户手动注销,访问网页不需要输用户名和密码,直接提示认证成功,上线成功?
对于使用Keycloak作为OAUTH认证服务器,如果服务器的IP是公网地址,认证弹Portal提示HTTPS required,如何处理?
认证策略导入的时候,认证方式是混合认证,但是不包括本地认证,首选项配置本地认证,可以导入成功吗?
混合认证中CAS认证和企业微信认证成功之后跳回混合认证,下标的认证切换会丢失?
输入用户名及密码后,认证失败,提示“用户名或密码错误”,如何定位认证失败原因,并及时修改?
第三方认证的RADIUS认证中,认证用户名含有中文字符可以正常认证上线吗?
pppoe未开启更新网关更新dns,第三方pppoe监听用户不上线?
本地用户与第三方录入用户同名时,第三方同名用户上线后,本地用户无法编辑、删除?
城市热点同步用户到设备需要注意什么?设备使用什么端口监听城市热点报文?
数据库认证上线的用户,在数据库里删除该用户,用户会立即下线吗?(R6616及以上版本)
数据库用户IP对应的用户是否能更新?(R6616及以上版本)
配置未同步用户portal推送后,PC访问网页重定向了配置的URL页面,但是无法打开页面?(R6616及以上版本)
数据库同步的用户名或用户组中如果包含特殊字符,同步后如何处理?
当数据库中存在相同的用户名时,数据库用户同步是如何进行同步?
使用NAT用户通过认证后访问外网页面依然弹出认证页面,导致循环认证?
为什么认证时,可以接收推送认证页面,用户名密码输入完毕后无法认证成功?
为什么用户认证时点击一次上线,显示设备拒绝请求,点击多次后可认证成功?
登录超时后重新认证,在认证窗口填写用户名密码后点击“上线”提示“用户已在线”?
为什么认证模板设置IE10浏览器没有调色板按钮,只能通过数字设置认证按钮颜色?
用户在线时间超出所配置的超时时间,有时可下线、有时不可下线?
跨三层环境IMC做第三方Portal认证,用户自动下线,日志显示被管理员踢下线?
在设备上配置与IMC对接的信息一致,为什么同步IMC用户失败?
IMC Portal认证和终端插件一起用的时候,为什么弹不出IMC认证页面?
R6616P03以下版本,USB管控白名单单条白名单配置字符超过255字符,升级到R6616P03及以上版本后,配置会丢失?
R6616P03以下的版本,升级R6616P03版本,掉电重启后,之前产生的客户端日志会丢失?
用户满规格后,下连PC在插件推送范围内,没有安装插件,可以正常上网?
浏览器页面缩小后,聊天日志对话模式不显示对端昵称和聊天内容?
客户端审计-插件端FAQ(XdrSetup-1.3.187.x及以上版本)
安装插件后,使用低版本火狐浏览器,访问网页时会弹出安全警告信息?
2.0.2.x和1.3.182.x的版本,自动升级到之前日期发布的版本时会失败?
安装阿里旺旺后,登录阿里旺旺,再安装插件,阿里旺旺发送消息不能立即被审计?
客户端审计邮件审计,部分腾讯系列的邮箱发邮件可以正常审计,接收邮件无法审计?
同时配置插件浏览器审计和SSL解密策略后,插件浏览器审计功能不生效?
终端客户端安装了插件,授权数量增加一个,卸载了插件,授权使用数量为什么没有减一个?
终端审计里,USB操作读写权限设置成只读,但是客户端可以编辑文件和新增文件及文件夹?
当设备重启、注销或重新打开Web管理页面时,锁定会话会保留吗
接口状态页面上有接收或发送速率的信息,但健康统计页面整机转发流量无数据?
为什么在同一时刻,监控统计中的会话统计与设备健康统计中的会话统计存在误差?
为什么资产管理已经有资产信息,但是在资产安全分析未展示数据?
设备健康统计的数据存在哪?多久存一次?什么情况下会丢?异常情况下的自我保护功能怎么样? 例如CPU繁忙、内存繁忙、异常断电、进程挂死等。
设备健康统计页面,整机转发流量只能看到上行或者下行的流量信息?
会话监控页面上用户/用户组列有些显示具体的用户及用户组,有些显示为空?
日志量比较大时,设备WEB页面访问安全汇聚模块的一些子页面加载时间较长
统计集统计最近1小时、最近1天、最近1周数据统计的刷新间隔是多少?
当用户中心用户识别错误的时候,同时用户数已经达到了用户中心的规格数,如何操作?
为何用户中心的应用日志数有时会多于日志链接的日志页面的总数?
当用户数量很大时,停流40分钟后CPU0仍然很忙,显示为100%?
安全分析的安全事件、资产安全分析及WEB防护分析等模块是分析相关模块的所有数据吗?
安全分析页面频繁切换时,页面报服务器响应出错(R6616及以上版本)
新建报表任务时报表格式有些设备只显示html格式,有些显示pdf和html两种格式?
统计报表开启数据统计,在日志量较大时cpu0会周期性出现使用率较高?
报表任务已引用的时间对象修改后,报表还会使用修改前的对象配置。
修改设备时间后,进入日志中心查询页面,默认显示的时间是当前时间
修改系统时间小于当前时间后,导出今天的审计日志实际导出来的是其它日期的日志?
设备在中文环境下,系统日志及用户上下线日志显示中文日志,在英文环境下显示英文日志吗?
搜索引擎日志查询内容如果比较长且带特殊字符,日志查询不出来?(R6616及以上版本)
磁盘使用率很高,从R6616以下的版本升级到R6616版本时,旧的PG数据库日志删除机制(R6616及以上版本)
HA主备场景下执行手动同步配置,备设备重启完成后,主设备HA监控仍显示配置不同?
主机下存有大量的会话时,主机执行清除会话操作,备机不会同步清除会话?
HA主备场景下,备机特征库比主机版本高,主备的特征库是否可以同步?
配置抢占模式后,如果主机重启过程中,备机配置进行了修改,主机重启后是否进行抢占?
HA主主或主备环境开启会话限制功能时,流量过一台设备,同步给对端设备的会话也会重新匹配会话限制功能?
HA主备环境,通过脚本方式创建大量的用户或配置其他策略时,会出现主备配置不同步?
为什么HA主备同步后,主备状态不一致(R6614及以上版本)
HA主备环境,在线用户页面,通过用户组绑定IP录入的在线用户是否可以同步到备机?
HA环境,支持导入配置的模块,频繁导入删除,造成HA主备/主主配置不一致
HA主主配置同步环境下,备控无法删除自动录入的黑名单数据?(R6616及以上版本)
HA主主配置同步的组网模型下,不支持配置负载均衡功能?(R6616及以上版本)
HA主主配置同步的组网模型下,哪些配置不会同步?(R6616及以上版本)
HA主主配置同步的组网模型下,特征库同步的方向只能是从HA主控同步到HA备控?(R6616及以上版本)
HA主主配置同步的组网模型下,被监控口的up、down不会触发主控和备控的切换?(R6616及以上版本)
HA主主配置同步的组网模型下,通信口的up、down都不会触发主控设备和备控设备的切换?(R6616及以上版本)
HA主主配置同步的组网模型下,主控设备重启,不会触发HA主控设备和HA备控设备的角色切换?(R6616及以上版本)
HA主主配置同步的组网模型下,备控设备重启,不会触发HA主控设备和HA备控设备的角色切换?(R6616及以上版本)
HA主主配置同步环境下,非对称HA主主环境下不支持配置负载均衡功能?
设备上收到了Radius报文,但是并未审计到Radius相关账号信息导致非经日志不产生
开启无线非经功能之后,设备本地有审计日志,但是未产生非经日志
网监平台反馈某些应用日志的账号为真实身份账号,非虚拟身份账号
AP配置导入时,AP导入文件中不能在一个AP上配置多个AP地址范围进行导入
sftp上报配置一台未开启SFTP服务的IP地址上进行数据上报,命令行使用display wireless-count查看上报计数有统计
HA主备模式下,为什么主设备的配置厂商和场所等信息没有同步到备机?
普通模式切换到三权模式后,原来的系统管理员、审计员账号还可以登录吗?
新建编辑管理员时,选择不同的角色有时会显示用户组选项,有时不会该选项?
管理员可以给孙子级或重孙子级管理员分配超过子级管理员的权限或者用户组吗?
使用新建的管理员登录设备,管理员配置控制策略和审计策略时,用户可以选择any吗?
管理员绑定用户组之后使用该管理员登录设备,在该用户组下创建的用户及用户组可以移动到其他组下去吗?
管理员开启外部认证,使用外部管理员登录设备时分配的权限是什么?
从F6613以下版本升级到F6613及以上版本,审计策略和控制策略上创建者是谁?
三权模式下,从F6613以下版本升级到F6613及以上版本,管理员及权限配置会丢失吗?
管理员权限的角色配置首页权限,管理员引用角色登录首页后点击页面链接无法跳转
管理员分级分权是否可以控制页面右上角的保存配置、锁定、管理员密码修改权限
告警功能里的邮件配置第一个配置QQ邮箱时,会出现收不到告警邮件?
已去勾选授权提醒勾选框,为什么登录的时候还是出现授权提醒弹框?
非Cavium硬件异常重启后,异常信息导出文件过大,会影响系统正常升级版本?
nessus工具扫描设备,为什么SNMP模块报GETBULK反射型DDOS漏洞?
UTF-8编码格式,是变长的编码格式,具体如下:
占2个字节的:带有附加符号的拉丁文、希腊文、西里尔字母、亚美尼亚语、希伯来文、阿拉伯文、叙利亚文及它拿字母则需要二个字节编码。
一个UTF-8数字占1个字节。
一个UTF-8英文字母占1个字节。
一个中文字符占3个字节的长度。
部分功能模块支持~及特殊字符,为避免出现影响配置恢复的现象,在无特殊情况下建议规避输入特殊字符。
· L2TP内层协议识别功能默认关闭,可通过audit l2tp enable命令开启。
· L2TP内层协议识别只支持单包内层协议识别,因此存在内层协议识别不准确的情况。
· 应用流量会识别分2份,一份是L2TP应用流量,一份是L2TP内载具体应用流量,会导致应用总流量比实际接口流量统计多的情况。
· L2TP内层协议审计,不支持解密,所以如果L2TP内载应用是加密流量,则无法进行内容审计。
· L2TP内层协议控制只支持通过IPv4控制策略匹配条件中用户、源接口/域,目的接口/域,源地址、目的地址、服务条件进行阻断,其他如入侵防御、病毒防护、URL过滤、应用过滤等都不支持阻断。
设备功能满规格配置本身会占用大量的cp内存,尤其是:子接口、地址对象、服务对象、NAT、URL、报表、安全分析、控制策略、审计策略,如果设备大量功能同时配置满规格,会进一步导致CP内存严重消耗,此外设备在承载业务流量转发运行过程中,还会涉及HA配置定期分析比对以及日志大量入库、报表和安全日志汇聚等周期性任务频繁操作数据库的行为,会导致CP内存极大概率达到80M临界值出现NMI重启。
规避该问题的方法如下:
(1) 当设备内存不足时,对数据库连接和数据入库增加限制,对其他周期性运行的任务申请的内存进行限制,此方案需要大量修改现有的代码机制,风险极高,且无法从根上解决问题,因为设备内存本身是有限的,无论阈值设置为多少,在测试场景中一定可以构造出极端的配置和业务流量来耗尽内存导致NMI。
(2) 精简策略:避免满规格配置,按照用户真实需求来配置,设备完全可以满足用户实际场景的使用。
问题原因如下:
设备分片报文的规格256且有时间限制,具体为IPv6分片报文超过60秒,IPv4分片报文超过10秒,在时间范围内如果没有重组成功就会把未重组成功的分片报文丢掉。
该问题只有测试环境会出现,现网环境未出现相关问题。
所有版本及配置支持向上兼容,不支持向下兼容,为避免反复升降级版本或切换版本后出现配置丢失显示异常等问题,务必在低版本升级之前先将配置文件导出备份,后续版本进行降级时直接导入备份的配置文件即可确保配置恢复和显示正常。
当特征库的版本号发生变化,升级时会删除PG库中当天的数据表,再创建当天新的数据表,保证日志数据的正常生成。
因此,大版本升级时,需确认各种日志的库文件版本号是否发生变化,如果发生变化,版本升级后均会丢失当天的日志数据。
看不到。因为设备R6616版本和R6616以下版本的数据库不同。R6616版本用的是logdb数据库,而R6616以下版本用的是SQLITE和PG数据库。
再次从R6616以下版本升级到R6616版本不会进行二次日志恢复。如果要保障版本回退后再次升级到6616版本能进行日志恢复,可以直接在R6616版本上恢复出厂,不能降级到R6616以下版本后再恢复出厂。
无硬盘设备导出日志时间范围是不生效的,因为无硬盘设备存储数据量非常小,一次可以导出全部数据,所以不需要时间来进行约束。
部分视图或者命令下输入ctrl+c会出现无法输入别的字符的情况,可以通过点击空格键进行规避。
部分页面从命令行进行启用禁用全局开关操作后,页面点击刷新不会更新toolbar信息只会更新表格数据,需要进行切换页面才能显示。
· 问题现象:
现象1:页面新建后页面未加载前,频繁点击新建,一段时间后页面显示“连接已重置”。
现象2:分析类模块,页面需要请求大量数据,频繁切换,页面显示空白等待不响应。
现象3:页面提示“服务器响应出错”。
现象4:刷新页面后提示“无法访问网站”
· 问题原因:
(1) 浏览器每次进入页面,会开启一个请求进程。
(2) 数据采用递归方式发起请求,直到数据获取成功后才会停止请求,在此过程中会发起很多次请求。
(3) 每个请求处理完成后才会处理下一个请求。
(4) 页面未响应结束前,频繁操作,导致页面显示异常(浏览器的机制)。
(5) 为了防止此类异常操作导致设备挂死影响正常转发业务,对Web进程进行了保护,此时会进行重启Web进程后让页面恢复正常。
综上,会出现服务器处理繁忙,部分请求响应失败,浏览器提示“服务器响应出错”的现象。
规避措施如下:
访问设备页面数据加载完前不要频繁切换页面,等服务器响应完成后可以正常回显。
(1) menuboot下已经格式化的硬盘分区被删除,然后启动支持该功能的版本,打开WEB会提示格式化硬盘。
(2) menuboot下硬盘分区格式化成FAT,然后启动支持该功能的八本,打开WEB会提示格式化。
页面提示格式化,格式完毕后会自动重启,重启后硬盘会自动挂载,WEB页面不应再有提示格式化硬盘的提示。
支持UI格式化挂载硬盘的功能,如果硬盘没挂载成功,设备启动后登录页面时会直接返回显示硬盘格式化的操作按钮,可以实现一键格式化挂载。
UI上是否显示硬盘是依赖于数据库能否正常连接上,连接不上不会显示,如果数据库创建失败,则会导致硬盘无法显示,处理方法如下:
recover database重新创建数据库或格式化硬盘即可恢复正常,出现此现象一般是由于两个版本的数据库差异太大导致数据库创建失败,如果升级前后的两个版本差异太大,请升级版本后清库重启。
页面提示格式化,格式完毕后会自动重启,重启后硬盘会自动挂载,WEB页面不应再有提示格式化硬盘的提示。
根据不同机型分别定义,最少一组Bypass接口对,最多不限制。
使用在二层网络场景。
Bypass功能默认开启。
系统异常时设备会自动重启,会触发Bypass。
异常断电会触发Bypass。
会持续Bypass状态一直到系统启动成功。
系统断电或启动过程会丢3个ICMP报文。
可以,启动成功后执行命令即可。
根目录下的version是文件里,里面放置需要更换的版本文件,序列号文件里的version只是一个放置版本号和版本名称的文件。
没有影响,只有在重启的过程中生效。
零配置启动盘启动成功后会在序列号文件夹下生成一个finish的文件。把文件删除后,还能继续生效。
零配置启动盘启动后,不论失败或者成功,display log debug即可看见日志。
不是,启动盘里可支持1024序列号。
启动配置是一个,备份文件是三个。
支持保存、导出、导入配置文件的格式为.cfg格式(导入时支持web页面导出的.data加密格式的配置文件),只支持保存配置文件的数量为6个,所有配置文件占总存储大小空间为200M。
配置文件保存在CF卡中,当CF卡空间不足以保存配置文件时会进行提示;使用erase startup-config命令清除所有配置重启后不会清除掉保存的配置文件。
可使用display config-list命令查看当前设备保存的配置文件,并且会显示配置文件保存的时间点,顺序按照时间点从最新到最老进行显示排列。
在命令行下使用copy config test.cfg ftp 192.168.2.120 test.cfg导出配置文件时,输入“?”时后面仍会提示输入FTP服务器的地址。如下所示:
这是由于FTP导出配置文件的注册命令是这样2条命令:“copy config LocalFile ftp USERNAME PASSWD A.B.C.D RemoteFile”,“copy config LocalFile ftp A.B.C.D RemoteFile”,
“copy config test.cfg ftp 192.168.2.120 test.cfg”执行的命令给识别为第一条命令了,把IP地址作为USERNAME来使用,所以导致输入?仍会提示输入FTP服务器地址。FTP导出命令是分为2个命令注册的,一个是匿名用户,一个需要输入用户名/密码;在输入IP地址和文件名称时无法区分是否是用户名、密码还是服务器、文件名称。
导入配置文件进行配置恢复时,设备重启过程中配置保存选项要N,不能输入Y,否则设备的运行配置会覆盖导入的配置文件,导致配置恢复失败。
不支持。FTPv6目前只支持从FTP服务器导入文件,即copy ftp的命令,不支持导出配置文件,即copy { running-config | startup-config } ftp 命令不支持FTPv6。
TFTPv6目前只支持从TFTP服务器导入文件,即copy tftp的命令,而不支持导出配置文件,即copy { running-config | startup-config } tftp 命令不支持TFTPv6。
切换成英文环境后操作日志显示的中文日志是在中文环境操作产生的。同理,如果是在英文环境下进行操作后,切换成中文版本环境,日志也会有英文显示。
设备控件显示中文和操作系统语言有关,操作系统为英文版,浏览器显示设备控件即是英文。
不会,保存的配置不受切换版本影响。
设备推荐使用在某个区域的网关或与外网接入处,一般来说,外部网络是最具有威胁的。当所有外网流量进入内网时都需要经过边界网关。由此来说设备放置的位置应为与外网接入的地方。如果内网某一区域对安全性有高要求也可放置设备。但要注意,所有设备应放在区域与区域相接处。
设备能够工作在三种模式下:路由模式、透明模式和旁路模式。如果设备以第三层对外连接(接口具有IP 地址),则认为设备工作在路由模式下;若设备通过第二层对外连接(接口无IP地址),则设备工作在透明模式下;若设备在完全不影响原网络运行的情况下部署,则设备工作在旁路模式下。
当设备位于内部网络和外部网络之间时,需要将设备与内部网络、外部网络区域相连的接口分别配置成不同网段的IP地址,重新规划原有的网络拓扑,此时相当于一台路由器。也就是说,路由模式设备连接两个不同的子网。
在网络出口需要定义一些访问控制列表(ACL)来对内外网访问进行更严格的要求时,采用路由模式时,路由模式设备可以完成ACL包过滤、NAT转换等功能。
如出现该情况可检查路由表,执行display ip route命令查看路由表中是否存在外网路由,如路由表正常,查看设备安全策略,在设备中默认安全策略为deny,需要手工设定放行条目,执行display running-config policy命令查看设备安全策略。
透明模式设备进行工作时,可以避免改变拓扑结构造成的麻烦,此时设备对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到设备的存在。
检查物理接口是否划入到了bvi接口中,display running-config interface查看当前接口下信息。
在透明模式下,设备将流过的所有二层数据进行解封装,把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是,设备会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发,而不改变数据帧的源地址和目的地址。
透明模式设备一般使用在原网络拓扑在已经完善的情况下增添设备。配置透明模式设备,设备相当于二层设备。可以将设备的多个接口连接到相同子网。可以在不更改其它设备的路由网关对网络进行保护。减少工作量。
旁路模式在不更改原网络部署环境的前提下使用。旁路模式设备将通过的流量进行监听、审计等作用。
旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备连接上设备即可。
查看旁路模式设备审计日志时无相应显示,该情况可查看策略配置,执行display running-config policy命令于查看设备的部署策略。
设备具有很好的保护网络安全的效果。入侵者必须首先穿越设备的安全防线,才能接触目标计算机。用户可以将设备配置多种策略,如控制端口、协议、应用等。
设备默认存在一条全拒绝的控制策略,使用设备时应先注意安全策略是否匹配。
是的,由于在修改下发时需要先清掉接口地址模式的配置然后在下发配置,因此导致原有配置会被清掉,点击取消后也没有了,如果需要原有配置的话,需重新配置下。
此功能主要为了实现设备快速部署于网络中,支持网关模式、网桥模式和旁路模式。
配置向导为了支持从老版本升级,不自动弹配置向导页面,会判断已保存的配置文件是否包含路由、桥接口或者部署模式配置,如果有,则不会自动弹配置向导功能。
确认登录的接口是否允许通过这些方式登录,可以在每个接口下进行具体配置,详细配置请参见命令行配置指导或者Web配置指导。
查看接口下是否配置了HTTPS访问控制,查看是否开启了管理员证书认证功能但并没有对应的证书。
可在"管理IP/掩码"输入框中以"IP/掩码"的形式设置用户主机的IP和掩码,用户登录时,如果用户名、密码正确,并且用户的主机地址与其设置的任意一组IP和掩码与运算的值相等,就可以成功登录。如果用户没有设置"管理IP/掩码"或任意一组"管理IP/掩码"设置为"0.0.0.0/0",则登录时不会判断用户的主机地址,只要用户名、密码正确既可成功登录。
在“系统管理>管理员”页面中,点击某管理员的<编辑>按钮,进入“修改管理员”页面,即可修改该管理员的密码。也可以点击页面上方右侧的“修改密码”图标,进入“修改密码”页面,即可修改当前登录用户的密码。
断电或reboot重启设备,按ctrl+c进入menuboot,当出现“Please input your choice[0-8]:”时,输入’4’,执行Reset administrator passowrd并输入’0’重启设备,重启后,密码即可恢复为默认的admin/admin登录。
结合管理员登录账号和Ukey证书双重身份的认证方式。
USBKey目前仅支持epass一个厂商。
在管理员双因子认证功能已正常开启的情况下,如果设备CA证书发生变更,需要先关闭管理员双因子认证功能然后再次开启,以便重新关联新的CA根证书。
谷歌浏览器提示“此网站无法提供安全连接”时无法唤醒ukey认证页面?
谷歌Chrome浏览器不支持通过USBkey输入pin码登录到设备https的web页面,即Chrome浏览器不支持管理员双因子认证功能。
IE浏览器因对证书安全检验级别较高,不受信任的证书网站浏览器会禁止用户继续访问,导致无法通过https访问设备。
插件的原理是对浏览器代码进行劫持实现一些功能,会导致设备部分页面显示异常、打不开、无法编辑等现象。
解决方案:关闭浏览器插件后,即可解决。
火狐浏览器需要做兼容性设置,否则无法调用Ukey中的证书。
该问题主要原因是由于用户会话的加密导致,原因为:
(1) 首次打开一个登录窗口使用https方式进行登录,此时会话ID的Secure属性为true,登录成功然后点击退出登录,退出登录后此时页面跳出登录页面,此时登录方式依然为https方式,在这种情况下会话ID的Secure属性依然是true。
(2) 通过浏览器重新打开一个新窗口,采用http方式进行登录,由于未关闭当前会话,所以即使换一个新窗口会话ID依然是加密状态,导致加密session后台无法识别,所以认证失败。
由于用户登录验证是通过会话ID,验证码也是通过session机制进行的校验,所以造成登录失败。
特征库的版本号有固定规范不能随意修改添加,但考虑一些特殊局点,需要特殊的特征库,故提供的特征库版本号一致。这种特殊的特征库都采用手动升级的方式,所以手动升级不检测版本号,以手动导入的为准。
NTP时间服务器支持IPv4及IPv6地址,域名只支持IPv4的域名,不支持IPv6域名。
是的,因为安全红线要求,在使用HTTPS访问时将浏览器的会话COOKIE设置了Secure属性,
若此时更换访问方式为HTTP,由于还是同一个会话,COOKIE是不变化的,同时Secure属性仅支持HTTPS访问的设置,HTTP访问无法读取已设置 Secure的COOKIE,从而导致登录失败。
处理方法:
(1) 清空浏览器缓存后,刷新页面或关闭浏览器重新打开;
(2) 使用其它浏览器访问。
是的,管理员登录失败阻断是基于IP的,因此原来的管理员也是会被限制的,需要等超过阻断的时间后才能正常登录。
是的,此情况只有在使用同一浏览器登录同一设备时存在,若使用两个不同的浏览器或登录不同的管理设备,在其中一个点击退出时,另一个是不会退出的,因为同一浏览器登录同一设备是使用同一个会话id标记的,因此会存在此现象。
是的,使用管理员登录设备,然后修改管理设定中的页面超时时间,提交后未立即生效,管理员没有即时退出,需要清理浏览器缓存才能生效。
设备在开启实时保存后,每次进行配置的时候都会执行配置保存,非常消耗设备资源,因此不建议开启,由于开启后频繁快速操作或者配合HA使用时可能存在以下现象:
(1) SNMP用户同步过程中,连续生成2次录入用户任务,第一次的用户录入大概率无法同步到备设备;
(2) 控制策略引用一条空的url对象,然后在url对象页面添加内容,概率出现引用关系消失;
(3) 在自动保存配置的过程中,同时删除多个用户,提示信息有误等问题。
这些问题原因都是因为开启了实时保存,设备在执行保存的操作同时又对设备做修改导致的问题。规避手段:如果开启了实时保存,需要在每次执行完配置后等待1-2分钟,设备完全保存好配置后在进行相关的操作。
修改系统时间后,每个管理员的密码到期时间会随之更新。将扣除已经生效的时间,剩余时间不变。
如:设置管理员密码周期为30天,在2020年3月1日新建管理员A,即管理员A的原始到期时间是2020年3月31日;如果在2020年3月7日将系统时间修改为2020年1月1日,此时管理员A已经的有效期已经生效6天,因此管理员A的到期时间更新为2020年1月25日。
默认配置RESTful API开关为开的状态,默认引用地址对象为any,是假引用;此时地址对象中any被引用的计数为0,任何路由可达的终端都能够访问设备的RESTful API接口。
在Web管理页面,进入“系统管理>管理设定”,不更改任何配置直接单击“提交”按钮,此时默认引用的地址对象any会被真正被引用;地址对象中的地址对象any此时的引用计数为1,任何路由可达的终端可以访问设备的restful API接口(post/get/put/ delete)。
有一定影响,比如主机名称中含有注入字符,页面上获取HA状态时会解析错误,导致页面显示异常;IPMAC绑定中配置含有SQL注入风险字符可以导入,但是在页面无法编辑修改等。
随着网络攻击的多样化,对于js、sql注入攻击经常被市场扫出或提出风险,目前版本对特殊字符配置做了全方面的安全加固,不允许配置敏感字符,考虑到配置兼容性,当前类似SQL注入风险字符的安全校验只在前端页面有检查,后端没有此类检查。因此在Web页面中无法配置,可以通过配置文件导入或命令行进行配置。该问题在多个模块均存在,出现此情况时可以在命令行下进行编辑修改删除,如果出现可以将原带有异常注入字符的配置去掉,然后配置不带异常注入字符的配置即可。
设备页面出现410 Gone显示是为解决文件越权下载安全性问题,通过防盗链机制隐藏真实URL,对下载URL进行加密和唯一性转化以及限制链接的时效性,在10秒内服务器未进行应答返回410 Gone,进而来限制用户获取到URL之后随便手动下载情况,该问题存在的缺陷是如果在设备繁忙时页面也会出现,此显示为正常现象,在不繁忙时重新刷新页面进行操作正常即可。
问题原因:
(1) 同一浏览器登录了设备多个页面,由于做了安全红线加强,刚登录设备页面后会刷新浏览器的URL时,由于此时Referer为空,和当前站点的要求Referer为同源不一致,因此会把当前用户踢下线
(2) 漏扫软件的一些非法参数及注入,导致lighttpd服务器异常。在sysmon进程中添加检测定时器:每5分钟检测一次lighttpd服务器是否正常,否则重启lighttpd。
解决办法:
(1) 建议使用单一窗口进行验证。
(2) 重新登录设备WEB页面。
设备收包时以物理接口MTU配置为准,超过物理接口MTU的报文会被丢弃。
设备发包时是否分片取决于出向口的MTU,不同部署模式下MTU判断如下:
· 路由模式转发,桥接口的实际MTU以当前桥下所有物理和逻辑口(包括本身bvi口)的最小MTU为准。
· 路由模式转发,聚合口以逻辑口MTU为准。
· 透明模式转发,以当前网桥下逻辑口的MTU为准。
接口从地址能配置为相同网段的不同IP,不会发生冲突,这是业内的标准实现。
当接口被VRF、网桥接口、聚合接口、子接口、安全域、虚拟网线、HA模块、地址探测、服务质量管理、NAT、负载均衡模块、策略路由、SSLVPN引用,以及接口开启旁路、非物理口情况下不能加入聚合口。
· 问题原因:ACG不支持动态聚合,交换机支持动态聚合。
ACG聚合口发包逻辑是:
逐包模式:根据加入顺序,遍历当前所有up的口,依次发包。由于先加入1g口(对端静默,即up但不收包),再加入10g口,导致报文从1g口发出,但对端未处理,从而导致部分不通。
逐流模式:根据五元组(或部分key)hash,得到固定的发包接口index。当前报文hash到1g口,导致不通。
· 解决方法:千兆和千兆聚合、万兆和万兆聚合。
如果同一个安全域内的接口不全在一个网桥(部分接口在一个网桥,部分接口工作在三层),这些接口需要跨三层互访或与其它三层接口互访时,需要将相应的接口加入到安全域内。
如果需要通过控制策略或审计策略调用安全域进行三层流量控制或审计,并且安全域内的接口存在加入网桥的情况时,需要将接口对应的网桥接口加入安全域。
不可以,串口下必须按照源IP、目的IP、源端口、目的端口的顺序配置。
接口管理方式中的Center-monitor为日志分析与管理平台的管理方式,R0304及以下版本日志分析与管理平台不支持IPv6,所以接口的Center-monitor管理方式不支持IPv6地址。
点击策略页面前端会同步请求接口、地址对象、服务对象等数据,在数据量大时例如设备接口存在1w个以上,查询过程就会响应很慢出现卡顿现象,可以采用配置适量的接口对象进行规避。
配置大于1万个子接口且部分接口带IP地址,设备重启会比较慢,每个带IP的接口UP需要约0.5s,如果有4000个带IP的子接口大概需要5-6分钟。
(1) 命令行配置VLAN允许范围,需要配置所有允许VLAN,不支持单个VLAN的增删。
(2) 只支持在加入网桥的物理口下配置VLAN范围,本功能支持对VLAN Tag 的过滤,不对VLAN Tag 标签进行处理。
目前仅支持华为E3372联通版本的4G网卡。
设备USB口插入无线网卡后,自动生成cell0接口,由无线网卡自动分配地址,拔掉网卡后,未被引用的情况下会删除接口,不支持配置接口属性。
设备在CPU100%的情况下会出现大量丢包,拨号报文发不出去,在连续发10个包后,没有响应,会导致lcp down,然后报close事件,根据PPP状态机,PPP切换到closing状态。
然后超时,收到To-事件,状态切换到closed状态,此时收到server端的Configure-Request packets时,会发送一个Terminate-Ack。收到server端的Terminate-Acks被静静的丢弃,以防止造成循环。
不再主动发包,等待up事件触发,所以需要接口shutdown、no shutdown。
在R6612及以上版本中,当IPv4和IPv6的PPPOE用户名密码一样时采用一个通道进行拨号,即建立一条LCP连接,可支持IPv4/IPv6同时拨号,获取IPv4/IPv6地址。
需要在其它未使用的接口配置IP地址用来管理设备。
可以正常使用,认证用户和设备管理口要路由可达,不然会出现认证页面无法打开的情况。
策略路由,也叫做基于策略的路由,是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。它转发分组到特定网络需要基于预先配置的策略,这个策略可能指定从一个特定的网络发送的通信应该被转发到一个指定的接口。
目前设备支持同一条策略路由中配置8个不同下一跳。
当策略路由存在多个下一跳出门时,下一跳根据权重和源IP进行选路。
· 如果只有一个源IP,流量只会随机选择其中的一个下一跳进行转发。
· 如果有多个源IP,权重高的下一跳分到的源地址就更多。
图1 策略路由转发流程图
通常我们都认为下一跳失效的判断条件为下一跳是否可达,但实际上设备在实现上并没有探测下一跳是否可达的机制,因此设备只能根据自身的各种因素进行判断。下面我们分两种情况进行讨论。
(1) 下一跳是直连网段地址的情况:
设备判断下一跳是否可达的条件是ARP,只要存在正确的对应下一跳地址的ARP表项,则策略路由认为下一跳可达。值得一提的是,如果配置静态ARP,则需要同时配置对应VLAN和出接口,此时策略路由才认为下一跳可达。
(2) 下一跳是非直连网段地址的情况:
对于非直连网段的下一跳地址,设备可以进行路由迭代,即针对下一跳地址查找路由表,如果能匹配到路由,则认为策略路由下一跳可达。如果没有匹配到任何路由,或者只能匹配缺省路由,则认为策略路由下一跳不可达。
IPv6策略路由下一跳信息暂时不支持“出接口(tunnel)”,设备目前暂时不支持IPv6 ipsec vpn。
优先级依次为:策略路由->链路负载均衡策略->静态路由(ISP路由)->动态路由,ISP路由也是一种静态路由,所以两者默认优先级完全一样,如果出现相同的目的网段同时同时配置ISP路由和静态路由的下一跳不同,流量负载分担。
· 删除低优先级的策略路由,不影响高优先级的策略路由的正常转发。
· 删除高优先级的策略路由,次高优先级的策略路由开始生效。
· 反复移动策略路由的优先级,始终是优先级高的策略路由生效。
ISP路由是将数据包从一个网络转发到另一个网络中的目的地址的过程。路由器是处在两个网络之间转发数据包的设备。路由器根据路由表中储存的各种传输路径传输数据包,每一个传输路径即为一个路由条目。
很多用户通常会申请多条线路进行流量负载均衡。然而,一般的均衡是不会根据流量的流向做均衡的,如果网通的服务器通过电信访问,网速就会很慢。安全网关针对该问题,提供ISP路由功能,使不同ISP流量走专有路由,从而提高网络访问速度。
用户在ISP路由配置页面新建策略,可以引用ISP信息预定义的运营商网段表,使相应ISP路由生效,同时支持在ISP信息页面自定义创建新的ISP对象,添加对应的目的地址网段,然后在ISP路由页面创建策略来引用以使其生效。
ISP路由在NAT配置、安全策略配置时可直接调用相应地址对象的流量。通过ISP路由策略(双ISP缺省路由)进行控制相应的流量走向问题,从而达到负载均衡。
(1) ISP路由下发的就是静态路由,只不过ISP路由支持以文件的形式批量下发路由,为了便于区分两种路由的下发形式,display ip route中在手工配置的静态路由前会标识S,ISP形式下发的路由前会标识为I。
(2) ISP路由下发的条目在静态路由配置页面不显示,进行了过滤,避免影响用户手工创建的静态路由的配置查看。
(3) 静态路由和ISP路由规格是共用的,是占用的同一个规格表。
(4) 如果配置一条静态路由再自定义创建一条ISP路由分别指向不同的下一跳,实现的是等价路由的效果。
(5) 存在ISP路由的情况下,再创建相同的静态路由,静态路由不能下发,实际还是一条路由,反之亦然。
(6) CLI下通过no ip route xxxx可以删除相应的ISP路由,如果要恢复此条ISP路由,需要删除ISP路由重新创建以触发下发整个ISP路由表。
RIP支持v1和v2两个版本。
RIP开启时默认为V2版本,若需要可以手动切换到v1版本。
Ospf不支持pppoe接口。
简单的说我们采用如下策略:
· 如果有loopback接口配置了,就选IP地址数值最大的loopback地址。
· 如果没有配置loopback接口地址,就选IP地址数值最大的物理接口地址。
· 选择完成后不可抢占。
· 我们也可以在启动OSPF进程时同时指定Router ID,如:router-id 1.1.1.1。
· 需要注意的是,如果当前OSPF进程正在运行,Router ID即使是重新手工配置或计算都不会马上生效,而需要OSPF进程重新启动才会生效。这个要求是合理的,因为Router ID对OSPF协议来说太重要,不可能在OSPF保持邻居不断的情况下更新。
· OSPF网络类型是NBMA的,但你忘记在OSPF协议模式下配置邻居了。
· OSPF网络类型是NBMA的,你配置了邻居,但在诸如Frame relay的map语句中忘记加broadcast关键字了,导致协议报文不能到达对方。
· OSPF邻居的hello及dead interval值不一致。
· 在Stub或NSSA区域,有些路由器没有配置成Stub或NSSA。
· OSPF验证配置错误。
· OSPF Router ID有问题,可能和某个其它路由器一样了。
· OSPF链路两端的网络类型不一致。
· OSPF链路两端的MTU相差比较大,尤其注意和不同厂商实现互通时(需要在其接口下配置OSPF忽略MTU检查或修改MTU)。
· 该网络根本就没有启动OSPF。
· 区域号不一致;链路的网络地址不一致,注意检查两边的mask。
其实很简单,也是必须知道的。调试开关是需要打开的,其中最有效,最常用的就是debug ospf packet命令,协商完成后执行display log debug,它能让你对OSPF的大部分问题看的一目了然。当然它也不是万能的,它是在正确接收OSPF报文的基础上才能有相应的错误事件。
当链路接口没有明确配置OSPF cost的时候,Cost按配置的基值除以接口带宽来计算。这个基值缺省为100M,例如10M的链路,cost缺省是100/10=10。显然当运行OSPF的路由器存在多个速率不同的1000M以上的高速接口时候,如果接口没有明确赋予OSPF Cost,按缺省公式自动计算的Cost将都为1,不能反映链路速率。这个时候有一个Bandwidth-Reference的命令,来调节基准值的,但要注意,整个OSPF路由域都要对应调整。因此,最好的方法,还是在网络做好规划,手工对链路接口的Cost赋值。
看起来很奇怪的问题,其实比较有意思。很多人的第一感觉就是:两端的了链路网络类型都不一样,哪能形成邻居关系呢?其实不然。OSPF协议并没有规定,要去严格检查链路的网络类型,链路的网络类型最重要的描述也是在Type 1 LSA中,形成邻居的关系条件检查并没有去检查它。仔细阅读协议并做实验,你会发现不少情况下,比如两台路由器以太网连接,一端保持缺省的广播网络类型,一端配置成OSPF P2P网络类型,肯定是可以形成邻居,并交换LSDB达到Full状态的。但很奇怪的事情是:到达Full状态了,为什么学不到路由呢?其实答案很简单,OSPF路由器需要LSDB来构建SPT(Shortest Path Tree),由于LSDB的数据库是脱节有问题的(在我的Router LSA中,我认为你是个广播邻居;而在你的Router LSA中认为我应该是个P2P邻居),根本无法构建正确的SPT, SPF算法也无法计算出正确的路由。
先看一个问题,简单示意的OSPF网络拓扑,area 1——area0-area2,area1中三条路由:10.1.0.0/16,10.2.0.0/16,10.3.0.0/16,在area1和area0之间的ABR没有配置聚合(将上述三条聚合成10.0.0.0/8),但在area0和area2之间的ABR配置聚合却不生效。这就是跨区域的聚合问题,这个表现是否正确呢?
仔细看下RFC 2328 12.4.3 Summary-LSAs中的描述,我们可以知道ABR产生type 3 LSA时,如果是inter-area,就直接处理,产生相应的type 3 LSA,而不需要考虑配置的range,而在考虑intra-area路由的时候,才要去考虑配置的聚合。
所以,上述描述的结果是正常的现象。区域间路由的聚合是在连接产生该路由的区域的ABR上处理的,而不能跨区域聚合。
从协议的角度上来看,OSPF的虚连接Virtual Link非常有用,一是可以将不与骨干区域直接物理连接的区域连接起来,让它能正常路由,这在一些网络的合并中比较有用;二是可以提高网络的可靠性,让骨干区不至于轻易断开而不能正常路由(RFC 2328中的例子)。
如果物理连接和下层协议正常,则检查接口上配置的OSPFv3参数,必须保证与相邻路由器的参数一致,区域号相同。
相邻的两台路由器接口的网络类型必须一致。若网络类型为广播网,则至少有一个接口的DR优先级应大于零。
应保证骨干区域与所有的区域相连接。若一台路由器配置了两个以上的区域,则至少有一个区域应与骨干区域相连。骨干区域不能配置成Stub区域。
在Stub区域内的路由器不能接收外部AS的路由。如果一个区域配置成Stub区域,则与这个区域相连的所有路由器都应将此区域配置成Stub区域。
各项口下进行的功能特性配置,在删除router ospf6主进程后,该接口上的所有配置也将被删除。
OSPF6接口支持配置16个区域;
OSPF6最多支持建立16个邻居;
OSPF6 stub 和filter-list没有限制数量,不推荐大量配置。
可以使用命令display ike sa查看当前IKE SA的信息:
HOST# display ike sa
----------------------------------------------------
Name: dut1 id: 3184
local_addr: 30.1.1.2
peer_addr: 30.1.1.3
stat: establish
life time: 86390
*********************************************************
Data: ike sa Total count: 1.
*********************************************************
可以使用命令display ipsec sa查看当前IPsec sa的信息。
HOST# display ipsec sa
----------------------------------------------------
Name: dut1 id: 4667
local_addr: 30.1.1.2 peer_addr: 30.1.1.3
esp: yes mode: tunnel
enc_algo/auth_algo: aes256/sha1
inbound_spi/outbound_spi: 237441483/134485286
ah: no
stat: establish
life time/cur_life_time: 86400/86304
inbound/outbound: 5/5 kbytes
local_net: 20.1.1.0/24
peer_net: 10.1.1.0/24
*********************************************************
Data: ipsec sa Total count: 1.
*********************************************************
IPsec VPN的默认加密方式是aes256-sha1。
一条IPsec VPN隧道,配置多个网段的感兴趣流,最多支持100条。
(1) 第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。
(2) 其次检查路由,查看对端是否可达。
(3) 如果一端配置对端网关配置的是动态,另一端配置静态对端网关,查看配置静态对端网关的一端,是否开启了自动连接,若未配置自动连接,流量需要从静态那一端发起,触发IKE SA的协商。
(4) 一阶段是否配置了两套一样的IKE提议:对端IP,算法提议,对端ID,本地源IP,这些信息一样。如果存在两套一样的提议,设备就无法确认使用哪个IKE配置进行协商了
主模式:对端IP,算法提议,本地源IP(如果配置了就检查)
野蛮模式:对端ID、算法提议、本地源IP
无论哪种模式匹配的标准是一样的,对端IP,算法提议,本地源IP,对端ID。只不过如果没有带的话,这一项就不检查了。
调试命令:debug ipsec-VPN debug。
(1) 首先可以检查IPsec的配置,查看两端的配置是否一致。
(2) 检测感兴趣流,查看两端的感兴趣流是否一致。
(3) 检测路由,查看对端是否可达。若是基于tunnel口,检查是否配置tunnel口的路由。
调试命令:debug ipsec-vpn debug。
隧道模式时查看是否配置策略。
查看感兴趣流的方向性是否正确。
若是感兴趣流的问题,可以通过以下命令查看:
display ike dump-tunn,查看基于tunnel的IPSec VPN的sp状态是否建立成功。
(1) 有些手机的IKE协商模式是野蛮模式,有些是主模式,所以一条VPN隧道不能保证所有的手机都能接入成功。
(2) 手机发起的加密算法也各不相同,可以通过debug ipsec-vpn debug命令,查看协商不成功的原因,同时也可以查看对端发来的加密算法是否与本端一致。
搭建IPSEC的环境中间有过NAT并且配置了AH认证导致ipsec无法协商成功,AH封装的校验从IP头开始,如果NAT将IP的头部改动,AH的校验就会失败,因此我们得出结论,AH是无法与NAT共存的。此时去掉AH认证IPSEC可以协商成功。
IPSEC断开后对端设备并没有把原先建立好的Sa清除,就不再接受再次发起的协商请求,导致无法建立连接。
(1) 在对端设备手动删除SA。
(2) 双方启用DPD检测。
问题原因:对端手动清除了SA;对端同时启用了按秒计时和按流量统计,本端只配置了按秒计时,如果流量过大,可能导致在按秒计时的生存周期内流量已经超出,导致对端SA端口连接
(1) 双方把各自一阶段的SA生存期和二阶段SA生存周期改成一致;
(2) 一阶段启用DPD检测。
(1) 当有多出口时,需要指定用于建立IPsec的本端IP地址。
(2) 如果指定的是本地源接口,则使用该接口上的主IP作为本端IP地址。
(1) IPSEC认证方式选择国密认证后,需要填写本端证书、对端证书和CA证书。
(2) 协商不成功需要检查本端证书与对端证书是否导入正确。
(1) IPSEC快速配置大大简化了IPSEC VPN配置,接入一个新的站点只需要配置节点类型、本端或对端网关IP,保护网段即可实现IPSEC接入,IKE一阶段、IPSEC二阶段、tunnel接口、保护网段路由等动态生成。
(2) IPSEC快速配置支持网段映射,能很好的解决分支站点保护网段冲突的情况。
(3) IPSEC快速配置支持选路策略动态调整,调整主备链路只需要调整分支节点线路顺序,设备会根据线路顺序自动调整路由优先级,默认线路优先级为5、6、7、8,最多支持4条线路。
(1) 执行命令display ike easy-ipsec-gen可以查看一阶段默认参数如下:
set mode main
set remotegw 172.16.1.1
authentication pre-share
lifetime 86400
dpd enable
dpd interval 5
dpd retry-interval 2
set nat 10
group 2
set policy 1
encrypt 3des
hash md5
(2) 执行命令display ike easy-ipsec-gen可以查看二阶段默认参数如下:
vpn ipsec phase2
mode tunnel
auto-connect enable(分支节点开启自动连接,中心节点默认关闭自动连接)
auto-connect interval 10
set lifetime seconds 86400
set proposal1 esp-aes256-sha1 ah-null
IPSEC快速配置一二阶段默认参数不支持修改,进入命令行编辑模式时会有错误提示,不允许用户修改。
预共享密钥尽量避免使用特殊字符,如 “<>”否则有可能会出现显示报错,但 不影响最终使用,尽量避免。
因为每一条ipsec链路都有设置的老化时间,链路断开后,会等待ipsec链路老化时间结束后,再根据设置的切换时间切换链路。
不能,主备链路是一对一的关系,被引用的主链路和备链路都不能再被其它链路引用。
一般情况下,需要等待ipsec链路老化时间结束后才开始切换时间,但是可以在ike配置DPD对端检测,链路断开后,根据设置的对端检测时间,ipsec链路就会断开。
主链路选择是指备链路来选择哪条链路作为主链路,主链路配置的时候不需要选择连接方式为监控链路故障自动连接。
主备链路监控的是IPSEC SA的状态。
目前对于低端设备没有完全意义上的控制核,cpu0核也会处理ipsec vpn业务,数据包通过ipsec加密端设备加密后就变成了相同的五元组:协议、源目的IP、源目的端口的报文,由于设备支持流保序功能,从而导致流量默认全部分到了cpu0,可通过switch keep-order off命令关闭。
IPSEC设置有3种:本地源接口,本地源IP,无,对于本地源IP和无的配置,接口down是无法判断要清除那个SA的,所以统一处理逻辑为接口down不自动清IKE,通过DPD机制来检测链路状态即可,DPD保活失败,会自动清除SA。
分支节点中的对端网关配置为嵌套的方式,独立于整个的IPsec快速配置页面,在编辑或新建对端网关配置提交后,对端网关的配置就已经下发成功了。
不支持IKEv2。
不支持,默认识别IPv4网段。
支持转发双栈流量,但是不支持v4隧道走v6流量,v6隧道走v4流量。
支持转发双栈流量,但是不支持v4隧道走v6流量,v6隧道走v4流量。
设备对PFS不做校验,当两端配置不同时也能协商成功。
快速配置中设备自动配置了各种参数且协商成功后会自动生成路由信息,当快速配置不配置感兴趣流时,默认所有都不是感兴趣流;但是第三方对接不配置感兴趣流,默认所有都是感兴趣流。
默认不允许通过ssl vpn隧道管理本机,可通过配置视图下敲ssl vpn allow access { all | center-monitor |http | https |ping | ssh | telnet }命令来允许sslvpn隧道管理本机。
客户端支持所有的win7和win10,Android6.0以上手机。
客户端自己断开或者在设备上注销,都不会发送下线消息给对方,VPN断开连接是自己的探测机制,每10S发送一次加密报文,客户端120s内没收到服务器的探测信息,自己下线。设备端150s内没有收到客户端的探测信息,注销在线用户。
资源如果选择FTP协议,不支持被动模式。如果支持,再设置自定义tcp端口1024-65535。
是的,SSL VPN客户端先执行的登录认证,之后再给客户端分配IP地址,在客户端认证成功后会记录设备在线用户,但是客户端因为未分配到IP地址所以拨号失败,由于无法成功拨号,也就无法正常发送心跳报文,因此在2分钟后,SSLVPN在线用户会自动老化消失。
是的,由于初次认证修改密码是需要设备主动进行页面访问来推送弹窗,但SSL VPN客户端的认证流程无法进行弹窗,因此SSL VPN使用此用户上线后是不会强制修改密码的。
导入SSL VPN资源和策略后,原来已配置的策略及未被引用的资源,会被导入的配置进行覆盖,原来配置的条目会删除;已被策略引用的资源不会被覆盖。
(1) 本地证书和对端证书必须是CA证书签发,客户端否则无法通过证书校验。
(2) 本地证书或对端证书失效后,客户端无法通过证书校验。
本地证书和对端证书如果导入已注销的证书,若CA证书正确的情况,客户端依然可以通过证书校验,设备无法针对证书是否注销进行判断。
Type的值表示SSL VPN预定义的资源类型,显示为十进制的值,是由二进制转换过来的。资源类型的二进制值是按照资源类型对应的二进制位置进行置位标记的,第一位是HTTP,第二位是HTTPS,第三位是FTP,第四位是ICMP,第五位是SSH,第六位是TELNET,第七位是邮件(SMTP,IMAP,POP3);置1表示允许,置0表示不允许。比如资源类型配置为HTTP和SSH,即为0010001,转换为十进制数即为17;如果资源类型为any或者自定义的,Type的值为0。
目前SSL VPN隧道接口的配置只支持管理方式的配置,可通过Web页面进入“网络配置>隧道接口”,选择需要配置的SSL VNP隧道接口,进行编辑;也可在命令行下通过allow access 命令进行配置。如果通过命令行对除管理方式以外的参数进行配置,设备重启后,配置将会丢失。
是的。SSLVPN用户上线后,修改SSL VPN的全局配置会导致SSL VPN进程以新的配置重新启动,所以之前上线的用户会被全部踢掉。
此接口配置的作用是在终端通过门户页面下载的配置文件中生成服务端地址,并非是限制VPN拨号接入的接口。
设备不支持终端使用IPv6地址连接只包含IPv4地址池的SSL VPN接入,若终端使用IPv6地址进行sslvpn连接,设备需配置IPv6的地址池
IPv4的排除范围会整体排在IPv6排除范围前面,IPv4和IPv6中包括的排除范围,按照创建日期进行排序。
AC地址协议定义字段option52,默认不会主动发送该信息,必须收到携带option52的请求消息才会触发下发该地址。
不可以,建议删掉地址池之后重新新建地址。
Server端和Client端不是实时交互的,是根据租约时间由客户端主动交互,在服务端做的操作不会实时同步到客户端,如删除地址池、删除监视器条目等操作不会导致客户端立即释放地址。
DHCPv6 Server端默认只支持四步交互、日志不开启、优先级为0;如要调整这个参数可通过命令行配置。
v4 Server是支持的,v6 Server不支持。
DHCPv6 server不是按地址池顺序分配地址的,跟v4不同。v6 Server是按照固定的算法给客户端分配地址。
DHCPv6 server协议规定是不分配网关的,跟v4不同。客户端获取IPv6网关地址是通过RA学习到对端的linklocal地址,所以一般DHCPv6 server服务接口最好开启RA,否则客户端将不会有IPv6的网关。
RA是指导设备获取地址的方式,RA中M和O的取值关系决定客户端的地址获取方式,具体对应如下:
IPv6地址获取方式有两种:
(1) IPv6无状态获取地址,即通过RA下发的前缀自动生成IPv6地址;
(2) DHCPv6获取地址,DHCPv6又分为两种,即DHCPv6有状态和无状态,有状态即DHCPv6客户端能获取IPv6地址和DNS等信息;无状态即DHCPv6客户端不获取IPv6地址,只获取DNS等信息。
目前设备作为DHCPv6 Client时,不支持DHCPv6无状态。
目前设备对PD的支持有限,只能获取PD前缀,但不能将前缀下发到用户,且获取到的PD信息在本机页面不显示。
目前设备作为DHCPv6 Client时,地址冲突检查能力有限,当获取的IPv6地址与本机其它接口IPv6地址有冲突时,可以检测到并且不将该地址配置到接口;但是当获取的IPv6地址与其他设备IPv6地址有冲突时,会将该IPv6地址配置到接口。
DHCPv6 Client侧不处理managed flag 为1的RA报文。
开启DHCPv6 Relay服务时会检查开启Relay功能的接口地址是否为全球单播地址,如果出现提示时,需要检查该接口的地址配置。如下图所示,ge1接口是指开启Relay服务的接口。
删除或修改开启Relay服务的接口的IPv6地址时,最好先关闭该接口的Relay服务,因为Relay服务启动时会初始化,获取接口IPv6地址,所以服务运行过程中接口IPv6地址有变化,Relay服务会失效。
因为Relay是实现跨网段的DHCPv6服务,所以一般情况下Relay接口和Server接口是不在同一网段的,所以无动态路由学习功能的服务器上需要添加静态路由到中继口,该问题容易被忽略,所以一定要检查路由是否通后,再开始使用Relay。
不能,对端路由器发送的RA包中所包含前缀必须是64位前缀,否则会丢弃。
不能,如果被管理标志位置位,不会去获取前缀,只会去获取默认网关。
路由器的RA功能,包含响应终端的RS以及定期发送RA;
设备上接口如果配置了ND-RA,相当于接口处于终端模式,会发送一定数量的RS,并且会解析收到的对端发送的RA包并从中获取IPv6前缀。
ND-RA功能扮演终端模式,IPv6路由通告功能扮演路由器模式。
query current count: 48977 当前dns并发请求数
query total count: 677413 发送的dns累计请求次数
cache count: 0 缓存数量
local count: 0 设备ping一个域名,成功会+1
dns并发数可以达到1W,设备最多允许接收5W;dns缓存动态5万条,静态和特定域名各128。
dns session 主要影响特定域名。
dns session enable特定域名优先走session。
dns session diable特定域名使用特定DNS服务器进行动态解析。
dns代理缓存达到5w以后,新来的dns请求继续处理并回应请求端;此时不再对新来的dns请求产生的应答进行缓存。
DNS报文数据段>512,dns响应报文不能大于512,对于大于512的响应报文,设备进一步回复给客户,但不进行动态缓存。
接口类型改变后必须去手动修改DNS链路的配置,否则会造成业务不通。
A记录设备最多显示8条,如果超过8,剩下的使用...省略号。
display dns cache和页面支持显示4个具体ip地址,后面()显示总的ip地址个数;命令行下display dns cache + 域名可支持最多显示出8个具体IP地址。
例:
开启DNS透明代理的功能,但是没有配置透明代理的策略,仍会命中透明代理的流程,导致用户无法上网,需要配置dns透明代理策略。
如果域名比较长,在页面的DNS缓存中无法完全显示(无法显示部分...代替),如果想在页面查询这样的域名是无法查询的。
本机报文不走dns代理流程,只需要在全局dns配置一个有效的DNS地址(DNS全局代理可关闭),在设备上就可以ping域名。
开启DNS透明代理或者DNS全局代理其中一个,DNS流量就会正常的进入DNS静态域名,DNS动态域名流程。
debug显示出接口为NULL时表示匹配的特定域名解析,否则显示出匹配的DNS链路出接口,例:
<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.6, out interface = ge4.4021, domain = www.spirentcom.com, retry = 0
<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.3, out interface = NULL, domain = 3.33334.www.spirentcom.com.cn, retry = 0
多条链路,配置基于负载,当某个dns链路出接口没有路由时,还是会负载DNS报文,选到有路由的就发出去,选到没有路由的就发不出去,就会造成部分网络不通。
多条链路,配置基于优先级,当优先级高的没有到dns服务器端路由的时候不会切换到优先级低的dns链路发送,会造成网络不通。
策略中的地址对象会去DNS模块查询匹配,当查询到DNS模块中的IP和域名的对应关系后,在将原策略中调用的域名对象与IP关联来实现策略控制,所以会有短时间的时间差。
(1) 在透明代理模式下,当A经过设备的DNS请求收到响应后,在设备上会产生该域名的动态缓存;如果B再向设备发出请求,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
(2) 在全局代理模式下,当A经过设备的DNS请求收到响应后,在设备上不会产生该域名的动态缓存;如果在B向设备发出请求时,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
是的,由于dns报文被重新组装发送而不是基于会话转发的,所以查询不到。
设备支持DNS 4to6及DNS 6to4的转换,无论是IPv4还是IPv6的DNS请求都会处理。
答:需检查终端发出的DNS请求是否是AAAA,如果发出的是A则是请求IPv4的地址,服务器未配置IPv4地址无法应答。
支持。根据DNS请求的类型进行应答:
· 如果收到的DNS请求是A,则会在一个DNS响应包中回应这两个V4地址,不会回应V6地址
· 如果收到的DNS请求是AAAA,则会在一个DNS响应包中回应这两个V6地址,不会回应V4地址
· 如果收到的DNS请求包括A和AAAA的,则会用两个DNS响应包分别回应A和AAAA的请求。
不支持,配置DNS服务器地址后,在查找路由时只查找root下的路由不查找VRF下的路由。
DDNS功能的规格限制是以配置的账户名的数量做限制的,目前支持配置10个不同的账户名,由于每个ddns条目只能配置一个账户,且不同的ddns条目不允许配置相同的账户名,因此ddns功能支持配置的条目也是10条。
当外网口地址存在多个IP地址时,DDNS更新时使用主地址进行更新,不会使用从地址,不支持指定某个特定的IP地址进行更新。
目前支持花生壳和阿里云。
这是两个完全独立的功能,分别针对不同的场景,并没有直接关系;但是在DDNS功能使用时需要先解析DDNS服务商的域名地址进行注册和认证授权,因此需要设备配置有DNS服务器,DDNS才能够正常使用,DNS服务器可以手工配置,也可以通过在DHCP或PPPoe接口动态获取。
不支持,目前只支持IPv4。
不支持,目前只支持三级域名。
静态应用缓存(应用缓存)支持20种文件格式,分别为:'zip'、'rar','7z'、’tar'、'gz'、'exe'、'apk'、'ipa'、'msi'、'lic'、'pac'、'txt'、'doc'、'docx'、'xlsx'、'csv'、'pptx'、'ppt'、'wps'、'pdf'。
动态应用缓存(APP动态缓存)支持'apk'和'ipa'两种文件格式。
APP模糊匹配的URL设置需要去掉host字段,如精确匹配时设置为http://www.test.com/test/sys.apk,那么模糊匹配时URL设置成/test/sys.apk即可,因为模糊匹配时是不会检查host字段的,如果设置了host字段会导致匹配不上。
本地文件不存在时,会去源站点下载。
如果有硬盘则存储在硬盘上,如没有则存储在CF卡上。
App缓存命中统计为每小时向文件同步一次,如果出现系统异常或重启,则最近一小时的命中统计数据会丢失。
APP动态缓存最多可以写8个域名。
下载URL必须为真实的下载地址,即符合URL三要素(资源类型、存放资源的主机域名、资源文件名)。
此为软件限制,cli上传文件,使用的是tftp方式。tftp在上传完成前无法获知上传文件大小。
当磁盘占用率大于80,无法正常下载。
无法单独删除其中一个app缓存文件,只能删除域名同时删除该域名下的所有缓存app文件。
动态缓存的文件只包含*.apk和*.ipa两种类型且文件类型区分大小写。
使用公网真实的服务器测试不会出现缓存失败现象,测试环境中出现过缓存失败的情况,且只有文件资源名包含中文时才会出现,真实场景是不存在文件名为中文的情况的,目前发现HFS1.5g版本搭建的webserver服务器当文件名包含中文时其对中文进行编码时使用的中文对照的16进制符号不是标准的,会导致设备下载资源后解码出的文件名与实际下载的文件名对应不上,这样即使下载成功了也不能正确显示,测试环境使用的HFS2.3版本无问题,推荐使用该版本进行测试,或者直接使用公网环境测试。
应用缓存实现机制:将用户get报文截获做302重定向到设备本地下载,因为操作过快,导致两次下载的GET实际是在同一条流上,因为302重定向是针对单条流只会重定向一次,后续的GET是直接放通的,所以会出现此现象,是302重定向的机制实现。在实际应用场景中,客户端为手机,不存在连续下载多次相同文件的情况,所以在实际应用场景中也就不存在这个问题。
软件限制,出现概率非常小,不影响使用。
是的,目前APP缓存302重定向设备服务端口必须为80,不支持端口漂移,如果管理端口被修改后配置的动态缓存的应用将无法下载。
可能存在如下原因:
(1) 请检查配置,
a. 域名是否填写正确;
b. 如果是https下载url,是否开启了对应的解密策略;
c. 下载流量是否正确经过设备。
(2) 是否该网站暂不支持解密。
已经缓存的文件会有定期检测的自动老化机制为:12小时检测一次,当使用率大约90%时,检测每个域名下缓存三天以上,最老的和命中最少的应用,以命中最少优先删除。
或者可以手动进行删除不再需要的缓存条目。
对于服务质量管理条目建立之前的“最后一次成功率”和“最后一次延时”数据进行补零显示;
进入WEB页面内的“网络优化>服务质量管理”查看探测结果,先确定配置的探测条目tcp端口是否打开。
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
当设备上未配置DNS服务器时会出现以上情况:
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
(1) 接口已经作为镜像规则源接口时不可再配置为其它规则的监控接口;
(2) 接口已经作为镜像规则监控接口时不可再配置为其它规则的源接口;
(3) 源接口和监控接口不能是同一个物理接口,要么配置为源接口,要么配置为监控接口,不能同时配置;
(4) 管理口以及旁路接口不可配置为监控接口;
(5) 在线业务口不可配置为监控接口(在线业务口即为现网在跑正常业务的物理接口)。
(1) 查看接口是否up,只有镜像接口up时才进行端口流量镜像,否则不进行流量镜像;
(2) 设备packet buffer数量使用率超过3/4,可通过display statistics fpa命令中PKI_POOL一行查看当前的使用情况,如果正常业务流量的packet buffer数量使用率超过3/4则镜像功能失效,不再镜像业务流量。
设备packet buffer数量使用率超过3/4,可通过display statistics fpa命令中PKI_POOL一行查看当前的使用情况,如果正常业务流量的packet buffer数量使用率未超过3/4,但匹配镜像功能后超过3/4,则会出现只镜像出部分业务流量的现象。
需要配置多条端口镜像规则,每条规则配置不同的源端口镜像到同一个监控接口, 目前端口镜像规则的源接口、监控接口只允许配置一个物理接口,无法配置多个物理接口。
不支持,由于设备仅仅支持单台模式,因此仅仅支持本地镜像,而不支持远端镜像。
不能。
使用display statistics phy-interface命令或在web页面查看监控接口的发送的流量大小是否等于端口镜像规则源接口所配置镜像方向的流量的大小。
可以,但是镜像前要保证被镜像的源接口的流量小于监控接口真实的物理带宽,否则监控接口发送报文出现拥塞,造成系统大量丢包,影响报文正常转发,造成业务中断,因此建议使用时配置低带宽向高带宽接口镜像,尽量不要高带宽往低带宽接口镜像。
旁路阻断默认状态为关闭状态,需要在部署方式高级配置开启此功能。
在控制策略中配置控制策略为拒绝,并且配置源接口以及目的接口必须配置接收镜像流量的旁路接口或者是any。
控制策略中配置行为为拒绝时,PC无法正常打开外网页面,无提示;如果是url控制或应用控制中配置拒绝会弹出提醒页面。
旁路阻断只针对于TCP报文生效,对于UDP,ICMP等报文无法进行阻断。
对TCP报文的阻断由于是发送reset进行阻断,如果存在外网流量回复速度快于旁路设备发送的reset报文速度,那pc将能够正常打开外网正常上网。
旁路阻断务必保证旁路设备到上网PC可达,否则功能无法使用。
旁路认证默认状态为关闭状态,需要在部署方式高级配置开启此功能。
在用户认证策略中配置的源接口以及目的接口必须配置接收镜像流量的旁路部署接口或者是any。
旁路认证为双向认证,源地址配置是PC访问的目的IP地址也会弹出认证页面。
当配置好旁路认证后,用户访问http网页,向重定向页面跳转时,能跳转URL但是页面无法访问,要确保旁路设备到上网PC要可达,故旁路认证务必保证旁路设备到上网PC可达,否则功能无法使用。
旁路认证对http报文返回http 302重定向报文,让用户访问认证服务器,认证服务器弹认证页面给客户端。
旁路认证对https报文直接发送tcp reset报文进行阻断。
可以通过物理网线相连接,也可以通过虚拟接口如子接口方式相连接。
可以创建最多256个vrf,超出时提示:Error: The total number of vrf has exceeded the maximum size(Capacity reached)。
VRF功能提供了从一台物理路由器变成多台虚拟路由器的功能。设备的VRF功能提供了路由表隔离,接口切换VRF,外部能够正常支持访问已经切换VRF的接口地址,除syslog不支持vrf接口外发外,支持本机报文正确选择对应接口向外主动发送报文。
路由表隔离功能是通过在创建和删除VRF时,同时创建对应的fib表实现的,实现形式就是每个VRF一个独立的FIB表,设备在没有开启VRF功能时,是默认存在一个VRF0结构的,路由表和流表都是从属与该结构。
流表的隔离,是通过在流表结构中添加VRF_ID字段来实现的,功能主要流程为,在流里结构中添加了一个VRF_ID的字段,该VRF_ID字段赋值为报文入接口的VRF_ID,查找流表的时候,比较五元组的同时还需比较VRF_ID是否相同,如果五元组和VRF_ID均相同,则表示查找成功,否则,新建对应的流表。
绑定了VRF的接口,仅支持NAT和静态路由功能,不支持其它功能,例如动态路由等。
接口加入VRF后,ping本机VRF中的接口地址ping不通,对端直连设备也无法ping通本端VRF接口的地址。
因为在批量删除的过程中,每删除一个VRF前需要保证内核中对应的路由信息先删除,然后再删除VRF。
除了删除VRF,实际还需要清除其对应的路由信息,并且还需要保证删除时序,所以会耗费的时间会比较多(例:4核设备批量删除50条VRF大约耗时30秒)
IPv6具有128位的IP地址结构,提供充足的地址空间。层次化的网络结构,提高了路由效率。支持自动配置,即插即用。支持端到端的安全。支持移动特性。新增流标签功能,更利于支持QoS。
邻居发现协议(Neighbor Discovery Protocol)是IPv6协议的一个基本的组成部分,它实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能,并具有邻居不可达检测机制。
邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。
当主机没有配置单播地址(例如系统刚启动)时,就会发送路由器请求报文。路由器请求报文有助于主机迅速进行自动配置而不必等待IPv6路由器的周期性IPv6路由器通告报文。
IPv6路由请求为ICMP报文,类型为133。
IPv6路由器请求报文中的源地址通常为未指定的IPv6地址(0::0)。如果主机已经配置了一个单播地址,则此接口的单播地址可在发送路由器请求报文时作为源地址填充。
IPv6路由器请求报文中的目的地址是所有路由器组播地址(FF02::2),作用域为本地链路。如果路由器通告是针对路由器请求发出的,则其目的地址为相应路由器请求报文的源地址。
每个IPv6路由器的配置接口会周期发送路由器通告报文。在本地链路上收到IPv6节点的路由器请求报文后,路由器也会发送路由器通告报文。
IPv6路由器通告报文发送到所有节点的链路本地组播地址(FF02 ::1)或发送路由器请求报文节点的IPv6单播地址。
路由器通告为ICMP报文,类型为134,包含以下内容:
· 是否使用地址自动配置。
· 标记支持的自动配置类型(无状态或有状态自动配置)。
· 一个或多个本地链路前缀-本地链路上的节点可以使用这些前缀完成地址自动配置。
· 通告的本地链路前缀的生存期。
· 是否发送路由器通告的路由器可作为缺省路由器,如果可以还包括此路由器可作为缺省路由器的时间(用秒表示)。
· 和主机相关的其它信息,如跳数限制,主机发起的报文可以使用的最大MTU。
当一个节点需要得到同一本地链路上另外一个节点的链路本地地址时,就会发送邻居请求报文。此报文类似于IPv4中的ARP请求报文,不过使用组播地址而不使用广播,只有被请求节点的最后24比特和此组播相同的节点才会收到此报文,减少了广播风暴的可能。
源节点使用目的节点的IPv6地址的最右24比特形成相应的组播地址,然后在相应链路上发送ICMPv6类型为135的报文。目的节点在响应报文中填充其链路地址。为了发送邻居请求报文,源节点必须首先知道目的节点的IPv6地址。
邻居请求报文也用来在邻居的链路层地址已知时验证邻居的可达性。
IPv6邻居通告报文是对IPv6请求报文的响应。
收到邻居请求报文后,目的节点通过在本地链路上发送ICMPv6类型为136的邻居通告报文进行响应。收到邻居通告后,源节点和目的节点可以进行通信。
当一个节点的本地链路上的链路层地址改变时也会主动发送邻居通告报文。
· 路由器和前缀发现。
· 地址解析。
· 重定向功能。
· 邻居不可达检测。
· 重复地址检测。
配置相关接口的物理参数,配置相关接口的链路层属性、使能IPv6报文转发能力、邻节点网络层(IPv6)可达。
IPv6缺省路由是在路由器没有找到匹配的IPv6路由表项时使用的路由。
· 第一种是网络管理员手工配置。指定的目的地址为::/0(前缀长度为0)。
· 第二种是动态路由协议生成,由路由能力比较强的路由器将IPv6缺省路由发布给其它路由器,其它路由器在自己的路由表里生成指向那台路由器的缺省路由。
可以按照如下步骤进行:
(1) Tunnel接口未处于up状态的最常见原因是隧道起点的物理接口没有处于up状态。使用display interface和display IPv6 interface命令查看隧道起点的物理接口状态为up还是down。如果物理接口状态是down,请检查网络连接。
(2) Tunnel接口未处于up状态的另一个可能的原因是隧道的终点地址不可达。使用display IPv6 route和display ip route命令查看是否终点地址通过路由可达。如果路由表中没有保证隧道通讯的路由项,请配置相关路由。
6to4隧道不需要配置目的地址,因为隧道的目的地址可以通过6to4 IPv6地址中嵌入的IPv4地址自动获得。
ISATAP隧道不需要配置目的地址,因为隧道的目的地址可以通过ISATAP地址中嵌入的IPv4地址自动获得。
执行ping6 IPv6地址即可,使用ping命令仅为IPv4下使用的。
手动隧道是点到点之间的链路,一条链路就是一个单独的隧道。主要用于边缘路由器—边缘路由器或主机—边缘路由器之间定期安全通信的稳定连接,可实现与远端IPv6网络的连接。
6to4隧道是点到多点的自动隧道,主要建立在边缘路由器之间,用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过在IPv6报文的目的地址中嵌入IPv4地址,来实现自动获取隧道终点的IPv4地址。
6to4隧道采用特殊的6to4地址,其格式为:2002:abcd:efgh:子网号::接口ID/64,其中2002表示固定的IPv6地址前缀,abcd:efgh表示该6to4隧道对应的32位全球唯一的IPv4地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。2002:abcd:efgh之后的部分唯一标识了一个主机在6to4网络内的位置。通过这个嵌入的IPv4地址可以自动确定隧道的终点,使隧道的建立非常方便。
由于6to4地址的64位地址前缀中的16位子网号可以由用户自定义,前缀中的前48位已由固定数值、隧道起点或终点设备的IPv4地址确定,使IPv6报文通过隧道进行转发成为可能。6to4隧道可以实现利用IPv4网络完成IPv6网络的互连,克服了IPv4兼容IPv6自动隧道使用的局限性。
现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到多点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。
使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:abcd:efgh。其中,64位的Prefix为任何合法的IPv6单播地址前缀,abcd:efgh表示32位IPv4源地址,用16进制表示(如1.1.1.1可以表示为0101:0101),该IPv4地址不要求全球唯一。通过这个嵌入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。
ISATAP隧道主要用于在IPv4网络中IPv6路由器—IPv6路由器、IPv6主机—IPv6路由器的连接。
设备只支持命令行下配置IPv6的域名白名单,如:user-policy whitelist host www.baidu.com。
此功能是通过转发或者旁路流量应用识别DNS报文的域名和地址,设备本地ping不会进入识别流程,所以无法使用display user-policy whitelist显示。
根据RFC协议标准,前缀信息勾选自治标志开启自动分配地址功能,前缀长度+接口标识长度必须等于128,否则不处理。
接口标识长度默认是64,所以前缀长度必须配置为64,终端才能自动生成IPv6地址。
由于无状态获取地址前缀长度必须是64,所以路由通告接口的ipv6地址前缀长度必须配置小于等于64,否则会出现设备没有到自动生成地址的路由,造成数据不转发。
目前代理不支持FTP的主动模式,且当前主流的FTP客户端filezilla和winscp,在代理模式选均强制使用被动模式,不可设置为主动模式。
socks4不支持域名,不支持认证。
因为有些客户端发出的连接请求目的地址不一定是域名,有可能是DNS解析后的IP地址,所以客户端最好做相关配置,否则匹配不上代理策略。
代理认证和设备的认证策略时两套独立的认证系统,代理流量不会经过设备的认证策略。
IE8不支持代理认证窗口弹出。
可以,需要把用户的模式打开。
· HTTP能被阻断,可以弹恶意URL页面,但是需要将代理地址在浏览器中排除。
· HTTPS能被阻断,但是不能弹恶意URL页面。
· 代理不支持的功能有:广告推送、应用缓存、APP动态缓存、负载均衡策略、链路负载均衡、策略路由、VRF、SSL证书推送(对HTTP应用不生效)、共享接入、移动终端、SSL VPN、故障监控中心、终端插件推送、DOS攻击防护、扫描攻击防御、ALG。。
· 代理流量经过解密策略需要使能tcpstack enable和sslproxy-optimize enable 用户态SSL解密,默认是开启的。
· SOCKS4代理不支持IPv6,不支持代理UDP。
· 代理不支持NAT64和NAT46。
· 代理流量不经过dos攻击、扫描防御策略,因此这两个功能在代理情况下是不可用的。
· 非法外联日志目的地址为代理地址,以当前非法外联的实现,暂无法修改。
· 考虑到加锁会影响性能,因此代理会话没有加锁从而导致会话满规格时会有极少量超规格现象,超规格数量为核心数-1。
· 代理不支持DNS过滤。
· 代理不支持应用缓存。
· 代理不支持HA同步会话数。
· SOCKS代理可以配置在浏览器上,配置后只对浏览器的访问请求生效。
· 代理策略配置指定IP上网为内网IP时,需要开启源NAT,否则不能上网。若配置的是自动选择,则可以不需要配源NAT,因为自动选择是通过出接口的IP上网。
· 代理认证支持三类:本地用户认证、第三方的LDAP和RADIUS用户认证。如启用第三方用户认证需要在“认证管理>高级选项>全局配置”页面的认证配置中启用第三方认证,并配置相关认证方式。且第三方Radius、LDAP用户通过代理认证不会录入用户组。
· PAC只支持配置在浏览器上,SOCKS代理工具不支持配置PAC。
· 有些业务端口不能配置成代理端口,比如34567、8000、8001、8002等。
· HTTP代理认证用户名不支持冒号,代理认证是采用的HTTP Basic认证方式,根据rfc 2617协议规定,Basic认证用户名不支持冒号。
· 代理认证的用户必须配置密码,不支持无密码的用户认证。
· 二级代理设备场景下,如果在二级代理设备上配置IP-MAC绑定策略,需要配置一级代理的IP和MAC,不能配置真实客户端PC的IP、MAC。
SOCK4不支持远程域名解析;SOCKS4代理支持解析域名的IP,对客户端PC,用户在代理工具上勾选使用SOCKS4A扩展(远程主机名解析功能),即可使用代理解析的DNS。
HTTP代理分别和Client、Server建立独立的TCP连接,因此查询IP会话(即命令display ip connection all,web上的会话监控)时,显示的是两条独立的会话,流表没有将其关联显示。如果需要查询代理会话的完整信息,需要用代理会话流表命令(display proxy connection all)可以查询完整的session信息。
用户在客户端配置HTTP代理或者SOCKS代理时,将设备地址设置为排除地址即可。
用户在配置代理地址时,需要将设备地址排除。
导入PAC脚本的格式需要是UTF-8,如果导入非UTF-8格式PAC文件后可能会出现乱码,导入的PAC文件最大为350KB。
因为二级代理环境下,报文交互过程是connect建立隧道,然后在隧道中传输代理端口(非443)的TLS报文,报文为代理流量。如果代理的流量为HTTP/HTTPS,协议特征无法将其识别为HTTP/HTTPS协议,故获取不到URL信息,无法阻断。可配合勾选URL过滤中的DNS过滤功能,实现对域名的阻断效果。
代理情况下,域名解析由代理设备完成,如果客户端PC的DNS没有配置可以上网,如果PC的DNS配置可用的,设备DNS配置无效,则不能上网。
可以使用命令display running audit poliy查看当前的审计策略。
审计策略的匹配是从上向下匹配,审计策略里面的源目接口和源目地址都是双向匹配。
在审计策略的匹配条件中选择高级配置,根据配置的虚拟局域网VLAN匹配审计策略,并配置SSL解密策略时,加密的流量无法审计。因为SSL解密策略的场景下获取不到VLAN ID,所以在SSL解密场景下根据VLAN ID匹配审计策略不生效。
(1) 首先检查应用审计策略是否正确;
(2) 查看应用审计日志是否记录;
(3) 查看应用审计与识别的细节信息,判断是否识别与审计成功;
(4) 通过查看首页应用流量排名统计来查看是否有误识别和漏识别情况;
(5) 查看特定IP地址的会话的AppName字段来确认是否为误识别,命令为:display ip connection protocol protocol-name ip source source-addr dest dest-addr;调试命令:debug app audit detail,debug application identify。
如果报文中无charset=big5的字段,系统会按照UTF-8、GBK、BIG5编码的顺序进行识别并解析。因为不同编码类型存在编码重合的现象,所以会出现big5编码的内容解析为GBK内容的情况,因此会出现解析的结果与实际内容不符的现象。
(1) 检查审计策略是否正确;
(2) 查看应用识别审计是否开启;
(3) 所访问网站是否符合包含content-type字段类型为text/html;
(4) 查看HTTP返回码是否为200;
(5) 查看网页标题长度是否大于128字符;
(6) 查看URL长度是否大于512。
(1) 查看应用审计日志是否发送,日志服务器是否启用,服务器IP及端口是否正确;
(2) Syslog服务器是否启动,端口是否与设备配置一致;
(3) 查看路由是否正确,ping服务器地址是否能ping通。
使用邮件客户端,配置不加密,审计到的邮件日志对应的是下载按钮;webmail:新浪邮箱、QQ邮箱等,审计到的邮件日志对应的是查看按钮。
Webmail审计(新浪邮箱、QQ邮箱等)可以在审计日志中查看邮件详情(不支持在审计日志列表下载邮件),并支持在日志详情页面下载附件。
邮箱客户端审计的日志不支持在审计日志列表中查看详情,只支持在审计日志列表下载邮件,可以将邮件文件下载后,查看邮件详情及附件内容。
通过Webmail 邮箱上传附件时,QQ邮箱服务器会存在缓存文件的情况,如文件已上传过,服务器则会进行缓存,报文交互中没有文件内容。则审计日志中邮件日志点击日志详情,点击附件名无法下载。
达到了邮件还原的最大限制数。
加密邮箱类需要配合SSL邮箱解密功能使用。
邮箱审计只支持明文的MIME 格式,部分邮箱格式使用的是非MIME格式,例如DATAEX格式,不支持审计和控制。
QQ概率性审计不到退出,偶尔会出现退出跟登录和收发消息是同一条连接,获取不到结束退出的特征,此外有时登录QQ也会概率性审计不到登录日志。
微信审计不到退出、收发消息、语音视频,加密应用无法获取到这些行为特征。
阿里旺旺审计不到退出和收发消息,加密应用无法获取到这两种行为特征
百度贴吧需要开启https解密才能够进行审计,https对象中需要包含BBS站点;对于百度贴吧应用的网页浏览日志是放在其它应用日志里面的,只有登录和发表时审计日志才会记录到社区日志,而且登录只能审计用账号密码登录的情况,使用手机验证码登录的方式数据单独加密无法进行审计,发布日志由于百度贴吧使用了新的加密方式,目前只能审计到内容,不支持审计账号。
审计内容的获取是会把部分格式的内容也审计下来,涉及的日志种类很多,由于基本没影响,改动又较大。下个大版本考虑统一做优化。
这两老字段现在没有实际用途,为了保证版本升级数据库兼容性所以保留下来(避免版本升级要清库导致日志丢失),UI做了屏蔽不会显示。
邮件日志外发时,附件个数规格限制为5个,最多发送5个附件。
由于设备审计邮件是作为整体来审计的,不判断附件个数和大小,在日志外发时再单个拆分附件并统计大小,比较繁琐,非常耗性能,再加上目前并无附件大小统计显示的需求,所以file_size按默认显示为0。
仅支持MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型的邮件,目前网络中邮件基本都采用MIME格式。
终端上下线日志是存在数据库中的,模式切换后只有新产生的终端上下线日志才会更新用户名,在线用户处用户名会改变,因为是从内存中保存的用户信息获取的。
操作系统类型是通过HTTP中的UA字段来识别的,用户第一次上网产生的流量携带了UA标识,如果后续流量未产生UA标识的情况下,会直接取上一次的UA标识的操作系统结果来产生日志,因此操作系统显示只能作为参考,不能保证百分之百正确。
目前HTTP文件下载支持的文件格式后缀如下:
.apk,mpeg,mpg,wma,wav,mp3,aac,compressed,zip,.rar,.gz,.bz2,.tgz,.tbz,.arj,.lzh,.tar,.ace,.uue,.jar,.iso,.7z,.bin,.zip,.txt,.hdr,.doc,.xls,.xlsx,.pacp,.pacpng,.cap,.img,.xz,.exe,.cmd,.bat,.msi,.dmg,.dll,.rpm,.ptada,.gpg,.pdf,.ps,.info,.cat,.cfg,.lss,.msg。
由于目前QQ最新版本收发消息和登录在同一条流中,无法进行阻断,所以将收发消息合并到登录行为中了。
由于目前大部分浏览器对于.txt格式的文件会自动打开查看而不能进行下载,而且查看的时候浏览器默认使用utf-8格式的编码打开,从而导致出现非utf-8编码的.txt文件在浏览器直接打开查看时显示乱码,无法查看审计到的.txt附件内容,为规避浏览器此问题,目前设备自动对txt文件压缩为.tar格式,这样就能够正常下载到本地解压缩查看了,而页面还是正常显示真实的文件名称及后缀,只是下载时把.txt文件压缩到.tar文件来进行下载。
数据库审计支持MySQL数据库、PostgreSQL数据库、Pointbase数据库、南大通用数据库、达梦数据库、优炫数据库、翰高数据库及人大金仓数据库,这些数据库支持的行为包含登录数据库和操作数据库。
审计策略匹配优先级从上至下进行匹配,支持配置多条,不进行去重校验;
由于控制和审计功能独立,不是识别出应用就记录日志的,需要审计到相关应用的账号或内容才会记录审计日志,由于有些是加密传输的,设备无法审计到相关内容,因此测试时需要配合解密的功能。
· HTTP类审计
(1) 网站访问
匹配条件:
a. HTTP协议解码模块正确解析获取到host字段。
b. URL库中正确对该host进行URL分类处理。
c. 审计模块正确审计到网页标题。
注意项:
不开启https解密,默认对内置的https网页进行审计(https audit predefine),网页标题从内置的网站与标题的对应文件中获取。可以通过命令配置https audit all对所有https网页进行审计,如果访问的域名在设备内置文件列表中没有查到,则截取域名的一部分当做网页标题,例如(www.soso.com,则网页标题显示为soso)。
(2) 网络社区
匹配条件:
a. 应用识别模块识别到论坛和微博发帖行为;
b. 审计模块根据审计特征正确提取到发帖内容。
c. 对论坛和微博相关应用的发帖行为进行审计,记录日志到发帖/发微博日志模块。
注意项:
社区审计只支持内容审计,不支持标题审计。
(3) 网页搜索
匹配条件:
a. 应用识别模块识别到具体的应用搜索行为。
b. 审计模块根据审计特征可以正确提取到搜索关键字内容。
对搜索引擎类、电子商务类的搜索行为进行审计,记录日志到搜索关键字日志模块。
(4) HTTP外发下载文件
匹配条件:
a. 应用识别模块正确识别到HTTP文件传输行为。
b. 审计模块根据审计特征正确提取到传输文件名。
(5) Web网盘上传下载文件(需开启解密功能)
匹配条件:
a. 通过特征识别网盘文件上传、下载会话,提取文件名信息。
b. 文件内容先缓存在内存中,整个文件的内容缓存完成后,以文件形式写在硬盘上。
c. 通过点击文件传输审计日志里面的文件名,把设备里的文件下载到本地。
注意项:
网页版网盘上传、下载文件支持百度网盘、360网盘、网易网盘的审计;附件单个文件大小最大支持100M(也可能是99.9M,会有一点点的误差)。
· 邮件类审计
(1) SMTP/POP3/IMAP邮件收发
匹配条件:
a. 应用识别模块正确识别到收邮件行为(IMAP、POP3)或发邮件行为(SMTP);
b. 审计模块正确审计到邮件发送者、邮件接收者、邮件主题、邮件内容等相关信息。
如果邮件是加密的需要开启https邮件解密才能审计到此类行为的邮件。
(2) Webmail发送接收邮件
匹配条件:
a. 通过特征识别邮件附件上传、下载会话,提取附件名、把附件内容首先缓存在内存中,整个附件的内容缓存完成后,以文件形式写在硬盘上;
b. 通过特征识别邮件发送、接收会话,提取发件人、收件人、抄送人、主题等信息;
c. 留存的附件通过附件名与邮件日志关联。
注意项:
a. Webmail接收邮件只支持163、126、QQ邮箱三个,点击收邮件,且得点开邮件查看内容才会有收邮件的请求,才能审计到;如果要审计附件必须点击附件下载,才能审计到;
b. Webmail邮件发送接收邮件上传下载附件都会先在文件传输中审计到,再关联到邮件审计日志中里面去;
c. Webmail邮件附件默认最大支持100M。
· 即时通讯类审计
匹配条件:
a. 应用识别模块正确识别到IM登录行为;
b. 审计模块正确审计到IM账号信息。
· 基础协议类审计
基础协议审计主要是对各个高层协议进行审计,5.0支持FTP协议审计。FTP审计主要审计FTP协议传输文件名、账号、ftp操作命令,记录日志到文件传输日志模块。
匹配条件:
a. 应用识别模块正确识别到FTP传输文件行为。
b. FTP解码模块可以正确解析出传输文件名。
· 娱乐股票类审计
娱乐股票类审计目前必须审计到对应的账号或评论之后才能产生对应的审计日志;
娱乐类审计:支持娱乐类应用的账号、评论审计。比如看视频,听音乐,游戏;
股票类审计:支持股票类软件的账号审计;
娱乐股票类审计支持如下应用测试:QQ游戏大厅登录、优酷视频登录、9188彩票(需要解密)、大参考登录。
· 网络应用类审计
网络应用行为审计主要对其它网络应用中能获取到账号的应用行为进行审计,记录日志到其它应用日志模块。
电子商务类登录有审计账号的都会在网络应用类审计中产生其它应用日志。
安全策略复制功能不支持CLI配置,目前只支持在WEB 页面进行复制。
不支持批量复制,一次只能复制一条“控制策略”或“审计策略”。
控制策略匹配是从上向下匹配,源目接口单向匹配,例如报文是从ge0入从ge1出,此时策略只能匹配到源接口为ge0,目的接口为ge1的控制策略。
当设备中配置了多条七元组策略时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条策略便结束匹配过程。策略的显示顺序与匹配顺序一致,即按照WEB界面(或者通过display run policy命令)显示的顺序,从上到下一次匹配。同时,七元组策略支持通过命令移动策略位置来调整策略的匹配顺序。
添加或修改七元组策略后,所有的流量都会重新进行策略匹配,以使新的策略生效。
不会,基于认证用户的分时访问,必须为认证用户。
对于命中分时访问策略的匿名用户,策略对用户流量进行放行。
支持,需要配合解密使用。
网络切换的Portal页面地址使用的是HTTP 8000端口,需要保证端口访问正常。
同时也需检查是否配置了认证策略。
是的,都会切换网络。
是的,只有属性组只有一个属性名的时候,分时功能才生效。分时策略会校验属性组的属性名的个数。
但是反向的,被分时策略引用的属性组可以修改多个,系统不进行校验,因为其他的策略也会引用属性组。如果修改了属性组,再次编辑控制策略还是会校验的。
是的,当用户加入分时网络时,会清除用户属性中与该网络属性组属性名相同的所有的已有属性组,然后记录加入该网络属性组的属性名和属性组,不相同的属性名会保留。
若分时策略分时规则配置为阻断,则命中策略的会话进行快转标记后继续走快转(阻断的用户不会加入对应的网络);当用户切换网络时,对于已经进入快转的会话,由于不会进行策略重匹配,会话流量依然按照原规则放行或阻断。若要按照当前配置生效,则需要对会话进行策略重匹配,可通过命令进行设置:
· 使用tdma net-change policy-rematch { enable | disable } 命令设置网络切换时进行异步清除会话策略进行策略重匹配。默认不开启。
· 手动清除会话:通过命令行clear ip connection all 清除设备当前所有会话。
不支持。
不支持。
通过命令行可以配置分时策略,配置方法如下:
(1) 使用policy in-interface out-interface source-address dest-address service-name user-name application-name schedule-name terminal tdma [ id ]命令创建分时访问策略,其他匹配条件参数根据需要设置;
(2) 进入控制策略配置视图,使用tdma命令可配置分时访问规则。详细配置请参见“命令参考”中相关命令的详细说明。
注意:配置分时策略时,只需要配置控制策略的匹配条件及分时访问规则,通过命令行配置时,只需要使用以上命令。进入控制策略视图后,除分时访问规则外的其他命令无需要配置(其他命令仅用于启用控制策略时,根据控制策略的要求进行配置)。
(1) 配置自定义URL,无论IPv4策略是否引用,都会对访问的URL按照配置的自定义URL以类的方式识别。如果IPv4策略引用自定义URL,则对引用的对象进行放行或者阻断。
(2) URL匹配配置的自定义URL是支持模糊匹配的,优先精确匹配,匹配不到再进行模糊匹配。例如策略引用了两个自定义URL,名称分别为门户网站和测试网站,门户网站包含URL为“www.sina.com”,测试网站包含URL为“sina.com”,当访问www.sina.com时会优先匹配到“www.sina.com”,URL即属于名称为门户网站的自定义URL,当访问sport.sina.com时,会匹配到“sina.com”,URL即属于分类为测试网站的自定义URL。
URL过滤中,自定义URL的优先级高于预定义URL,
若创建了一个自定义URL又没有将其引用到任何控制策略中,就意味着对这个自定义URL的访问是全放通的。
因为自定义优先级高于预定义的设定,预定义生效,会直接放通而不会阻断。
内部的优先级:明确的URL(比如:www.baidu.com)> 含有通配符的URL(比如:*.baidu.com)> 域名关键字(比如:baidu)。
对于HTTPS网页,有时候会有这种现象。如果某些网页的外部链接网址不在设备内置的HTTPS对象中,设备无法解密就无法获得其Referer字段,因此无法进行Referer字段的查询匹配。
是的,设备自定义URL对象中配置的URL为精确匹配,区分大小写。例如,配置URL对象为“WWW.BAIDU.COM”,如果访问www.baidu.com时则不能进行匹配。
配置了应用白名单策略,当应用在20个报文内都没有识别,这20个报文会被放行,20个包之后进行阻断。
(1) 如果应用使用的服务器和端口承载了其他应用,会存在误识别成其他应用的可能。
(2) 同一应用存在多种终端,如果配置了基于应用的控制,需要把策略应用树上与该应用相关的应用都选中,避免功能实现和配置逻辑不统一。
(3) DNS报文必须经过设备,否则应用白名单功能无法生效。
(4) 目前只有应用对象中的智能应用支持应用白名单功能,且很多应用存在交集的情况,因此,在配置时,需要首选看一下此应用是否包含于智能应用中,并看一下此智能应用的描述。
· 问题原因:QQ会有多种发文件的方法,阻断日志只是阻断了其中一种传输方法,QQ仍可以采用其他方法进行数据传输。
· 解决方式:配置控制策略的应用控制时,选择应用时,除了选择QQ收发文件,还需将“腾讯资源_上传”、"腾讯资源_下载”同时选中,配置阻断后,可以正常阻断QQ收发文件。
如果配置不生效时,可以在导航栏选择“策略配置>对象管理>应用对象”,将鼠标悬浮到应用名称上,查看需要关联的阻断应用。如下图:
问题原因:鼠标连续快速划过应用名称,应用描述信息的悬浮框按照请求响应的先后顺序进行显示隐藏,最后显示鼠标停留的应用的描述信息详情。
解决方法:将鼠标停留在需要显示的应用名称后,描述信息显示正常。
HTTP下载针对网页中的图片不做识别,否则会影响网页浏览,且HTTP下载的识别针对特定类型的文件后缀生效:
.bin,.zip,.rar,.gz,.bz2,.tgz,.tbz,.arj,.lzh,.tar,.ace,.uue,.iso,.7z,.txt,.hdr,.doc,.xls,.xlsx,.pcap,.pcapng,.cap,.img,.xz,.csv,.p12,.crt,.data,.exe,.cmd,.bat,.msi,.apk,.dmg,.dll,.jar,.rpm,.ptada,.gpg,.pdf,.ps,.info,.cat,.cfg,.lss,.msg,.odt,.pom,.gem,zip,.mpeg,.mpg,.wma,.wav,.mp3。
QQ发送文件如果是秒传文件那是无法阻断的(秒传文件指之前曾经传输过的文件,或者是从公众网站上下载的一些安装包),之前传输过的文件或公众网站上的一些安装包,腾讯服务器上已经保留了文件的MD5等信息,当再次传输这个文件的时候,腾讯服务器上发现存在相同的MD5文件,这个时候QQ就采用一种特殊的方式,快速的把这个文件传送到接收端,而QQ客户端并没有真实的发送文件,所以就阻止不了,导致看到的现象是对端收到了文件,没有阻断掉。
恶意url白名单是精确匹配。例:被阻断的网站为qq.com,新建恶意URL白名单www.qq.com后还是不能访问,只能是qq.com,才能访问。
邮件控制只支持标准的SMTP/IMAP/POP3协议,当前已知不支持邮箱类型有WebMail、腾讯企业邮箱、QQ邮箱。
配置好邮件控制后根据发送smtp邮件进行控制,匹配邮件控制顺序为:发件人->收件人->邮件大小->附件个数->邮件主题->邮件内容。
邮件控制中收件人过滤、收件人过滤和标题及内容关键字均只支持选择一个关键字。
关键字匹配规格为发送邮件中的关键字包含配置的自定义关键字才能匹配;反之则不会匹配邮件控制。
邮件控制策略以邮件内容为限制规则,发件人、收件人、主题、内容、附件等限制作为过滤条件。
选择发件人过滤时,筛选邮件内容过滤判定是否可以发送邮件,触发控制策略后邮件将发送失败。
选择收件人过滤时,筛选邮件内容过滤判定是否可以接收邮件,触发控制策略后邮件将收取失败。
pop3收邮件时,直接请求邮件内容进行收取,如果邮件被阻断则直接收取失败。
IMAP收取邮件时,先请求邮件列表,在点击邮件时再进行邮件内容请求,所以就算邮件被阻断,其实也可以看到邮件主题,但是邮件内容会加载失败。
有些邮箱可以选择开启收件服务器,POP3或IMAP。有些在创建账号时就可以选择收件服务器,收件服务器一般是与邮箱账号的运营商统一的。比如,腾讯邮箱收件服务器imap.exmail.qq.com和pop.exmail.qq.com。
邮箱平台客户端其实只是邮件传输协议与客户的一个接口,协议的使用还是根据不同的运营商各自的服务器来定的,比如我用Foxmail登录网易邮箱,但是收发件的服务器选择的还是网易的服务器,Foxmail此时只是给用户提供一个操作界面。
可以配合SSL解密策略中的邮箱解密,将加密的邮件进行解密后,可以正常进行审计和控制。所以此时邮件是否可以被控制策略判断是否阻断,取决于邮箱解密功能是否能将邮件进行解密。
网页版邮箱一般默认使用的是http、https协议进行邮件传输,此时无法被阻断,可以在设置中开启pop3和imap的收邮件服务器,就可以被正常过滤阻断了。
不支持,压缩文件上传时不是明文的,无法检测到关键字。
关键字过滤不区分大小写字母,无论配置为大写或小写均可正常检测和过滤。
关键字过滤同一条流只要检查到第一个符合条件的关键字就会停止匹配。
不支持附件内容过滤,只支持基于附件名过滤。
FTP应用暂不支持关键字过滤。
网页内容过滤时,有时关键字在网页中的位置比较靠后,此时检测到关键字后,部分网页内容已经加载成功,所以会出现网页部分加载的情况。
WEB搜索引擎关键字过滤是针对设备预定义应用中已经提取了搜索关键字特征的应用进行过滤操作,虽然百度搜索引擎在预定义搜索引擎中,但是自定义应用中又配置了百度相关的域名,此时应用识别的时候会优先识别自定义应用,从而无法走到预定义百度搜索的识别中去,所以导致百度搜索关键字基于web搜索引擎关键字过滤不生效。
关键字条目规格512和1024条,每个关键字对象里可以配置1024个关键字。
单条控制策略只能引用1个关键字对象。
QQ账号黑白名单关键字控制,关键字匹配为精确匹配。
苹果系统虚拟账户控制不生效,特征加密问题。
虚拟账号控制依赖应用特征库,特征库不识别时无法控制。
移动端(安卓)测试虚拟账号控制时,需要关闭移动网络。
旁路模式qq 阻断不生效。
虚拟账户匹配到白名单,应用控制不产生日志(只有黑名单阻断后才产生日志)。
QQ登录识别报文和获取账号报文不在同一个报文中,前一个报文识别为QQ登录,未获取到QQ账号,命中了应用控制策略报放行日志。后一个报文获取到QQ账号,命中了虚拟账号策略,报阻断日志,此情况属于正常现象。
(1) 文件后缀超过15个字符时,日志记录会截断前15个字符;
(2) 阻断FTP时,本地会创建临时的文件;
(3) 升级特征库,预定义文件类型需要手动点击重置才可以更新;
(4) 真实文件类型识别中:jpg和jpeg无法区分;
(5) 开启真实文件类型过滤后,如果识别到真实文件类型为png,但配置为jpg阻断,文件名称后缀为.jpg,不会实现阻断,开启真实文件类型识别后优先进行真实文件判断;
(6) 默认真实文件类型识别为关闭状态;在Web管理页面,进入“策略配置>对象管理>应用识别模式>应用识别高级配置”,可以开启真实文件类型识别;或者通过命令行file-type ident magic mode enable 开启。
(7) 解密后真实文件类型应用支持: 163邮箱(上传/下载)、QQ邮箱下载、126邮箱(上传/下载)、百度网盘下载、360云盘非真实文件类型上传和真实文件类型下载;
(8) 真实文件识别支持类型包括:avi、mp4、mp3、chm、jpg、jpeg、gif、bmp、tiff、png、dcm、heic、ico、jxr、psd、 zip、rar、gz、7z、docx、pptx、xlsx、pdf、rtf。
(9) 文件类型对象名称匹配不区分大小写,配置ZIP与配置zip阻断效果一样。
(10) 如果使用的FTP连接端口为非标准端口,需要在设备中配置FTP非标准端口,配置后就可以正常控制了,HTTP均是正常可以控制的。
(11) 文件名称包含后缀超过87个字符后会被截取,在截取的前87个字符再进行文件类型识别。
(1) 文件名称是读取get请求中的url中/后的字符,当文件名称为中文时,http访问时,会进行utf-8或者gbk编码,再进行url编码。
(2) 由于设备中文件名称只记录87个字节的长度,如果编码后的文件名称(包括后缀名)超过87个字符,则截取前87个字符进行文件类型识别,截取后的文件名不包括后缀名,则不能识别成功。
如文件名称为:文件类型过滤不匹配问题.zip,编码后为:
%E6%96%87%E4%BB%B6%E7%B1%BB%E5%9E%8B%E8%BF%87%E6%BB%A4%E4%B8%8D%E5%8C%B9%E9%85%8D%E9%97%AE%E9%A2%98.zip
编码后的文件名超过87个字符,被截取后不包括后缀名“zip”,因此无法识别成功。
(1) 某些功能处理时,需要对下载的文件进行内容缓存,比如av等功能;
(2) 系统缓存的内存限制大小为dp内存的八分之一,当超过总大小时,不再缓存文件;
(3) 当过设备的流量很大,并且流量类型集中于http、smtp、pop3及imap该类需要缓存文件的协议时,每个会话都会进行文件缓存,因此会超过设定的内存总大小,导致文件类型过滤不生效。
部分厂商telnet服务,使用TAB补全的关键字不生效,因为不同操作系统或服务器的telnet在实现上有些差别,返回的报文不统一,目前telnet协议关键字过滤支持原生Linux系统和windows 7。
FTP协议过滤命令需要使用报文里的原始命令进行配置。
终端公告正常弹出需要满足以下条件:
· 策略开启终端公告提醒,接口管理方式必须开启http。
· 终端访问http页面,才会触发弹出公告,目前不支持https。
· 终端公告提醒前置条件,终端能正常访问公告页面。
安卓手机后台会偷跑http流量,所以有些时候,打开浏览器没有弹出公告,这个时候需要保证后台运行的其它软件没有触发http流量。
用户若第一次上线(在线用户中没有此用户即为第一次上线),即使定时推送时间已过,也会弹终端公告。
公告页面的推送基于间隔的是间隔时间推送一次,基于定时的是过了此时间点推送一次,推送过后在下次时间点未过之前就不再推送了,虽然目前已有UA过滤,尽量避免非浏览器的推送,但做不到完全过滤掉非浏览器的报文,建议基于时间点的推送如果没有推送出来,可通过注销在线用户再次使用浏览器查看能否正常推送出来,如果能够推送出来那就表示功能正常(注销用户会把其记录的已经推送过的标记清掉)。
首先要看在线用户中此用户的终端类型是否识别为多终端,只有识别成多终端的情况下,才会匹配此控制策略。
终端型号支持长度是1-63字符,超过63字符后会截断显示,目前正式对接中还未出现大于63字符长度的终端类型。
如果重启设备时保存配置,重启不会丢失同步过来的ddi-user,如果没有手动保存配置,会丢失30分钟内同步的ddi-user信息。
目前设备支持的终端类型是版本内置的,暂不支持修改。
由于在命令行配置恢复时空,格隔离开后会识别为是不同关键字,导致配置恢复失败,因此将空格转换为下划线进行显示和配置。
转换方法为:如果前后空格不转换,中间有多个空格时只转换为一个下划线。
此功能默认关闭,可通过命令行或者页面开启。如果未开启此功能,控制策略、审计策略、流量控制策略中的终端配置即使配置后也不会进行匹配,与终端类型配置为any效果一致。
同时此功能只对同步过来的IP地址、终端型号和老化时间关联进行显示和相关策略的匹配,DDI消息报文中的其他字段暂不关注。
微信中收发文字消息被加密,无法识别此加密行为。
基础网络协议日志量太大,为了避免大量刷日志,做了特殊处理,只有在阻断的时候才会产生日志,动作为允许时不发日志。
默认控制策略动作为“允许”时,设备syslog日志支持记录级别为“info”的控制策略日志,所以在设置日志外发级别需要选择“全部级别”,或者“信息”,或者“调试”,远端syslog服务器才能收到日志。
注意:建议不要勾选记录日志。控制策略动作为允许的时候,如果勾选日志并外发,会产生大量外发日志,可能对设备性能有影响。
控制日志数据库中记录文件名称的长度为63个字节,当文件名过长时会被截断显示。
当前网络环境的复杂性,网络服务与网络终端的多样性,相应的设备就需要更多、更复杂的控制策略。这些控制策略经过一段时间的积累,往往会造成老策略不敢删,新策略不断增加,单台设备会积累成千上万的策略,极大降低设备性能和用户体验。
从策略分析的角度,一键分析当前的冲突、冗余、隐藏、合并、过期和空策略,一定程度上解决防火墙管理的难题,使每一条策略都直观可视,让设备更易于使用、便于维护管理。
冲突策略:不区分匹配的前后顺序,若策略A和策略B存在数据流交集(非包含和被包含关系),且AB策略的行为不同,则A和B互为冲突策略。
冗余策略:根据匹配的前后顺序(先匹配A策略再匹配B策略),如果A策略匹配的所有数据流会被B策略包含在里面,删除A策略不会对其余策略产生影响,如果AB策略行为相同,那么A策略会被计算为冗余策略。
隐藏策略:根据匹配的前后顺序(先匹配A策略再匹配B策略),如果B策略匹配的所有数据流会被A策略包含在里面,如果AB策略行为相同,那么B策略会被计算为隐藏策略。
可合并策略:不区分匹配的前后顺序,策略内元组信息只有一项不同(且可合并)的情况下,则认为是可以合并的策略。
空策略:当策略中匹配的任何一个对象为空时,那么该策略会被计算为空策略。
过期策略:发现当前策略中,匹配的时间范围已经不会再次出现的策略。
极宽松、较宽松、正常、准确以引用的源地址、目的地址中包含的实际IP地址数目换算得到,大于65535个IP为极宽松,256-65535为较宽松,32-256为中正常,小于32为准确。
因为过期用户和配置为空的用户组处理方式一样,无法区分,因此被分析为空策略,目前过期策略只支持时间过期。
不会。应用控制相关配置没有加入到即时分析策略里,在分析结果页面也不会显示被分析策略对应的安全信息。
策略分析开始时会以当前的策略总数进行分析,策略分析结果不会随配置增加或减少而变化。
主机上进行策略分析时,备机上不会同步进行分析,且主机上分析结果不会同步给备机。
目前策略分析结果中百分比是问题策略数除以策略总数取整四舍五入所得,所以如果问题策略数相差不多时看到的百分比有可能就显示是一样的。
新建控制策略和子策略后取消,整个控制策略不下发。
当在已存在的控制策略里新建子策略后,点击取消,子策略会一起下发。控制策略和里面的子策略是不同的配置页面,在控制策略里新建子策略提交后,子策略的配置就已经下发成功。
为什么控制策略没有达到满规格,新建控制策略时会提示达到满规格?
在IPv4控制策略页面点击新建,会先创建一个策略id,如果不点击取消按钮,该id会在1分钟之后才被释放,如果设备在一分钟内反复执行“点击新建然后跳转到其它页面”的操作,使策略id分配达到满规格,此时返回到控制策略页面点击新建会提示达到满规格,1分钟之后id释放可正常进行新建操作。
命令行开启了策略过滤应用功能(policy filter application enable),则必须同时配置安全策略和应用过滤策略。没有配置应用过滤策略,则认为没有匹配到安全策略。
是的,目前描述信息参数配置的字符中带有空格时,在字符串最前面和最后面的空格会自动去掉,只有字符串中间的空格进行配置下发,目前很多模块的描述对于空格的下发均是此种处理方式。
当设备dp内存使用90%以上或者有内存碎块时,下发控制策略,由于内存不足会造成策略编译失败,出现设备cpu100的现象。可以通过display memory命令中Flow一行查看dp内存信息。
解决方法如下:
(1) 通过命令行clear ip connection all 清流释放内存;
(2) 重新下发控制策略;
(3) 查看策略状态恢复正常,通过display policy accelerate命令行查看,State列显示为opened说明策略编译成功,状态正常。
自由门软件实现机制比较特殊,提取不到有效的特征,目前暂无法识别和控制。
HTTP协议post方式上传文件时,仅支持标准的上传格式,如果是非标准格式,无法正确缓存上传的文件内容,对后续依赖文件缓存的功能有影响,比如杀毒功能。
控制策略有白名单机制:每条会话会放通前20个报文去做应用识别;如果设备的会话新建很大,但是每条会话后续流量不多,就会出现大量流量被转发的情况;该机制默认是开启的,可通过命令policy white-list { enable | disable } 开启或关闭,也可通过命令policy white-list permit count <1-30> 设置放通报文的个数。
策略匹配条件的引用用户页面本地属性结构下只显示属性组,不显示属性组下所属用户。
NAT44支持端口复用,只要一条流的DIP、Dport、portocol有一个参数不一样就可以转化成相同的源端口。
NAT44端口分配是随机的,从尚未使用的端口号中随机选择一个进行转化。
NAT44、NAT64、NAT46、NAT66暂不支持ALG,可以用源NAT功能配合ALG使用。
目的NAT的目的地址建议不要配置为全any,否则会对同网段设备造成干扰,导致网段其他设备会报地址冲突。
是的。目的NAT引用地址池时候,修改地址池配置,设备不会清理已经存在的相关会话。
是的,页面勾选多条策略或者规则后点击优先级只会移动第一条配置,此种情况在其它模块也存在,不影响功能使用。
单向流量匹配NAT64后,因为NAT64模块在用户模块前面,用户匹配的是NAT64转换后的IPv4地址,在线用户只有一个IPv4的用户,两条会话中IPv6会话没有用户,IPv4会话用户正常;
双向流量匹配NAT64后,因为正向的IPv6流量没有检测到用户,反向流量过来时设备会将反向流量的源IP(正向流量的目的IP)识别为用户,此时两条会话中IPv6会话用户识别反了,IPv4会话用户正常;
NAT46模块同理。
HA主主配置同步组网模型下,SNAT/DNAT的地址池配置会生效,但是对于配置有特殊要求。具体要求为:SNAT或DNAT引用接口地址池时,慢速匹配会检查引用的地址池中和接口IP是否会有重合的IP,只有接口IP地址(主地址或者从地址)和引用的地址池中的地址重合时候才会生效。在HA主主配置同步的组网模式下,SNAT和DNAT功能的地址池配置要做好规划。
配置举例如下(以SNAT为例):
· HA主控SNAT配置
Sip:any
Dip:any
接口:ge6
地址池:2.2.2.101~2.2.2.200
ge6:接口IP是2.2.2.101,从IP是2.2.2.102~2.2.2.150(HA主控上和地址池重合的IP是2.2.2.101-2.2.2.150)
· HA备控SNAT配置
Sip:any
Dip:any
接口:ge6
地址池:2.2.2.101~2.2.2.200
ge6:接口IP是2.2.2.151,从IP是2.2.2.152~2.2.2.200(HA备控上和地址池重合的IP是2.2.2.151-2.2.2.200)
(1) 负载均衡出接口配置规格32。
(2) 单独一个出接口允许添加健康检查的个数规格8。
(3) 负载均衡策略配置规格32。
(4) 单独一条负载均衡策略可以添加的出接口(包括出接口组)规格8。
(5) 出接口组中可以添加的出接口的规格4。
(6) 免负载地址可以添加的地址对象(包括地址对象组)规格8。
(7) 加入到负载均衡组中的接口不能再加入到桥口或聚合口和HA心跳口。
目前支持基于权重负载和优先级负载两种方式。
选路的默认规则是按照链接中的源地址进行哈希,结合权重完成选路,源地址越离散,选路越均衡,同一链接的所有转发要求使用同一个接口完成。关于父子链接的应用如sip,h323,pptp,ftp,tftp等要求主从链接必须使用同一个接口完成转发,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发。如果场景中不存在父子链接的应用,也可以不根据源地址进行哈希,命令行下需要配置 lb-policy load-balance random 根据随机值进行哈希。
(1) 权重的范围1-100。
(2) 出接口状态为up的接口能够参与权重比计算。
负载均衡策略添加的出接口,按照由上到下的匹配顺序,进行转发。
这里的优先级需要明确,最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护。
(1) 优先级的匹配顺序是由上到下。
(2) 最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护。
(3) 优先级可以通过上下箭头进行调整,按照调整后优先级完成转发。
新版本的会话保持功能,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发,如FTP控制流和数据流走同一链路,同一用户的请求能持续在同一个链路进行负载,避免网银等业务不可用。
新版本暂时不支持过载保护功能。
(1) 链路负载出接口,添加健康检查(健康检查地址需要配置可达地址)。
(2) 健康检查支持协议:暂时仅支持ICMP检测。
(3) 链路负载均衡出接口,最多添加8个健康检查条目,8个检查条目,只要有任何一个检测失败,认为该出接口健康检测失败,该接口状态为不可用。
(1) 出接口为三层口静态ip的接口,必须配置下一跳地址。
(2) 出接口为pppoe,dhcp,tunnel接口,不需要手动配置下一跳地址。
(1) 默认开启排除设备的直连网段,开启后,如果通过设备的流量访问的目的地址为设备直连网段的地址,则不匹配负载均衡的策略。
(2) 如果通过设备的流量访问的目的地址被添加到免负载均衡地址以后,则不匹配负载均衡策略。
新版本暂时不支持匹配应用的负载均衡。
首先匹配策略路由,未匹配上策略路由匹配负载均衡策略,均为匹配上,匹配静态路由。
(1) 链路负载均衡本身的匹配顺序,先匹配免负载均衡地址,负载均衡策略由上到下匹配。
(2) 负载均衡能够匹配正向发送的流量,无法匹配反向进入设备的流量(配置负载均衡策略,同样要配置相应的默认路由,保证目的nat功能可用)。
(1) ISP地址的导入命令:copy ftp 服务器ip 导入的isp地址库名称 isp-address
(2) isp地址导出命令行:export isp-address by ftp 服务器地址
(3) ISP地址导入后需要执行isp address update,导入的isp地址生效
(4) ISP地址导入后需要执行isp address creat,isp地址生效
(5) ISP地址删除命令,isp address delete
基于权重负载的负载均衡策略是按照源IP地址进行hash运算的,当源IP数量较少时由于hash算法原因查看匹配计数未完全按照配置的权重大小的比例进行负载分担,只有当源IP数量较多时才能够与配置的权重大小比例一致。
是的,同一个接口只允许被一个策略引用,将老的接口修改为新的接口,整体策略未提交时,老接口是没有被释放的,可以采用提交策略后再修改进行规避。
(1) 多出口场景下使用。
(2) 接口最少2个最多4个。
(3) 目前不支持ISP就近探测。
(4) 如果在出口使用的话路由需要配置为默认等价路由。且在同一负载均衡组下。
(5) 如果一个路由的多下一跳出口分属不同的负载均衡组,对于这种存在冲突的情况,按照之前的路由选路方式进行,不再进行负载均衡。
(6) 只有物理口能加入负载均衡组。
(7) 加入到负载均衡组中的接口不能再加入到桥口或聚合口和HA心跳口。
目前支持带宽比负载和优先级负载两种方式。
根据每条链路的带宽,通过分配新建链接,采用轮询负载均衡接口的方式选择出口,达到负载均衡的目的。
(1) 必须有两个出口。
(2) 只有加入到负载均衡的接口,且路由可达的接口才对流量做负载均衡。
(3) 采用带宽比负载均衡时,接口组里的所有接口都需要配置带宽,否则该接口组不生效,阈值可不配置。
(4) 不配置阈值的情况下,按照带宽比例进行负载。配置阈值的情况下,根据接口带宽和阈值的值进行转发。
(5) 如果没有配置过载保护接口的话,当链路阈值到达后,该链路不再承载新连接的流量,转由其它链路进行负载。当所有链路都达到阈值后,则会对新连接丢包。
(6) 如果有多个过载保护口,只选择当前负载最小的接口。
基于优先级的是 谁的优先级高先走谁 接口达到阀值后在找第二优先级的接口走,相同优先级,接口流量满了后才从其它接口转发。
(1) 必须有两个出口。
(2) 只有加入到负载均衡的接口,且路由可达的接口才对流量做负载均衡。
(3) 接口必须配置优先级。默认优先级为4,数字越小,优先级越高。带宽阈值可不配置。
(4) 负载方式为优先级并且配置有接口带宽和阈值,当优先级高的链路达到阈值后,走优先级低的链路。
(1) 负载方式为带宽比的情况下,会话保持优于带宽比。
(2) 会话保持保证同一源IP出接口一样。如FTP控制流和数据流走同一链路,同一用户的请求能持续在同一个链路进行负载,避免网银等业务不可用。
(1) 负载方式为优先级,同时开启了会话保持,先走优先级。
(2) 会话保持对优先级无效,因为优先级强调的本来就是优先走哪个接口,这俩互斥。
(1) 负载均衡组指定过载保护接口,该接口在负载均衡组中。当负载均衡的各个出口都达到阈值后,再有新建会话则从指定的过载保护口出,并且该口不受阈值限制。
(2) 如果有多个过载保护口,只选择当前负载最小的接口。
支持在负载均衡接口上配置健康检查,引用已有的tack机制。当track状态发生变化时,对应接口的路由状态发生变化。基于track,已实现ICMP、TCP(HTTP、FTP、DNS等)。对于需要多种检测方式的,引用track组。
基于源地址散列+权重。
为了保持一致性,同一个源的报文被送到同一个服务器处理,这里需要采取基于源地址hash的算法,同时还具有加权随机的算法,最终选择实服务器,即DNAT规则。
基于权重。
源ip每次都会进行匹配后进行转发。
范围为1-100。
权值越小,优先级越高。
支持icmp。
通过发送icmp数据,检查服务器是否存活。
支持tcp。
通过发送指定端口的tcp数据,检查服务器是否存活。
负载算法是先根据源地址计算出一个随机数,用随机数对权重和求余数。比如权重配置是是1:1,加起来就是2,匹配概率0或者1,当源地址比较少的时候很大概率只能匹配到其中一个服务器。此时需要修改权重值为一个比较大的范围比如是10:10,匹配概率会变成1-19,此时负载基本能按照权重匹配(但是匹配数也不太可能完全1:1,如果源地址范围越大,权重总和越大,就越接近1:1)。
由于设备支持配置32个链路负载出接口,每条链路负载出接口均支持配置dns-dnat功能,因此dns-dnat规格与链路负载出接口一致。
DNS透明代理功能优先处理DNS报文,DNS报文不会在进DNS-DNAT流程处理。
DNS-DNAT的探测功能在配置DNS-DNA后就会默认开启,设备主动往主、备DNS服务器发送域名www.baidu.com的dns请求报文,每10s发送一次,重试次数为3次,即如果连续三次未收到DNS服务器的dns恢复报文则认为此DNS服务器故障。
在web管理页面,网络配置>负载聚合>负载均衡出接口配置页面查看,如果DNS服务器探测失效时,DNS服务器的显示将变为红色字体,将鼠标放在dns服务器显示IP处,会有弹出框显示“此dns服务器探测失败,为故障不可用状态”;在cli下可通过命令行display lb-policy wans interface state进行查看;在dns server后面会显示当前dns服务器成功还是失败,并且后面会有相应的标识,各状态标识含义如下:
· 0x00表示均不健康
· 0x01表示主是健康的
· 0x02表示备是健康的
· 0x03表示均健康
从线路策略绑定接口出去的流量为上行,从线路策略绑定接口进来的流量为下行。
由于R6616以下版本中单个地址对象可能是源地址,也有可能是目的地址,所以R6616版本流控策略(包括子通道、限制通道和排除策略)中的源目的地址不区分方向。
需要在地址对象的“排除地址”中同时配置流的源地址和目的地址。
流量控制通道的保障带宽必须小于等于其最大带宽,流量控制通道的保障带宽必须小于等于其上一级通道的保障带宽。流量控制通道的最大带宽必须小于等于其上一级通道的最大带宽。
多个匹配条件是与的关系,当同时满足所有匹配条件时才认为命中该通道。当一个流控通道的匹配条件为空时,会去匹配其子节点的匹配条件。
最大带宽只是起到一个限制的作用,限制流量不能超过其最大带宽。保障带宽的作用是在流量发生拥塞的时流量仍能够达到其保障带宽。
需要检查如下配置是否正确:
(1) 线路的最大带宽和保障带宽和其实际的带宽一致,若外网的带宽为20M,就需要配置线路的最大带宽和保障带宽为20M。
(2) 下一级通道的保障带宽总和(包括缺省通道)是否已经超过了其保障带宽。
多个流量控制通道是按顺序匹配的,若流量和某一条流量控制通道匹配,就不会再匹配后续的流量控制通道。
设备的流控策略中,普通通道(子)有256个slot,不同的源IP通过一定hash算法进这256个slot排列,每个slot有255位置,数据单元进入通道的slot进行排列,这个slot只是用来缓存的,如果报文取走了,就空出一个位置。正常情况,数据进入通道很快就被转走,当源IP很多,同时设备资源有限情况下,就会出现slot被占满,部分源IP的数据单元在slot等待数据位置,会出现报文拥塞,严重时会出现报文丢弃。
解决办法如下:
(1) 通过匹配条件将源IP分配到多个子通道当中;
(2) 使用限制通道,限制通道因为没有缓存报文,是通过给令牌的方式决定报文的流速,每IP限速每秒更新一次令牌桶,这种性能会好很多,不会因为排队而出现上述问题。
QOS排除策略也称为白名单,就是指定的用户或者地址的流量,不受QOS管制,直接转发,最大限度的保证这些用户使用网络。
流量先被每IP限速处理,然后再被流控通道处理。每IP限速的周期是一秒,流控通道是实时的。被IP限速通过的流量可能会继续被流控通道丢弃。
设备配置限制通道及线路通道中的每IP限速,会导致下载附件时实际下载速率为限速值的三分之一。
设备上配置限制通道或线路通道中的每IP限速,可通过qos perip cache-mode ( enable | disable )命令来控制每IP限速的令牌桶计算方式:
默认情况下该命令为关闭状态qos perip cache-mode disable
qos perip cache-mode disable没有缓存,丢包取决于是否达到限速值,会使总缓存的报文数量减少,调度更快cpu使用率降低,但会导致每IP限速的丢包,影响TCP滑动窗口,终端发起的流量可能就会少了,导致设备总转发流量降低;
qos perip cache-mode enable有缓存,开始丢包后造成滑动窗口变小,但是还是可以从缓存中获得数据包转发,会抑制滑动窗口不断变小。
· 对于限制通道中的每IP限速,配置qos perip cache-mode disable时限速效果好但有抖动,配置qos perip cache-mode enable时网页测速抖动小;
· 对于线路通道中的每IP限速,配置qos perip cache-mode enable时限速效果好且速率抖动小。
是的,由于增加了QOS百分比及线路带宽调整,每IP/用户不支持QOS百分比功能,但修改线路带宽会调整通道的带宽,每IP/用户的带宽又无法改变,因此就可能出现调整后的通道带宽小于每IP/用户带宽的情况,若保存配置后重启会出现每IP/用户配置加载失败的情况。为了避免出现配置丢失的严重问题,此种情况作为软件限制处理。
P2P的流量存在不对称性,可能会出现大量的下行流量。多余的流量被流控通道丢弃,但是会影响总体的带宽使用率;建议在实际部署时减小P2P的上行流量,这样可以有效抑制下行流量。
当发生带宽借用时,高级别的通道优先借用带宽。若多个通道的级别相同,则平均分配借用带宽。
当子通道的保障带宽之和大于父通道,按照各个子通道的保障带宽比例分配。
对延时要求高的一类应用可以放在单独的流控通道中,该通道的流量不要超过其保障带宽。
查看当前通道流量的命令display qos statistics。
Qos通道带宽自适应,只支持WEB页面配置,不支持命令行配置。
每IP限速不适用于百分比这种情况,例如针对p2p下载配置通道限速100M,每IP限速8M;但用户将通道限速改成50M,每IP限速多数情况下还是8M,每IP限速只是避免某个用户抢占过多带宽的,并不完全是均分带宽,所以每IP/每用户并不太合适带宽自适应。
限速百分比支持0.01-100%,并且支持4位有效数字,所有小于0.01的都显示为0.00%。
(1) 配置限速通道的保障带宽、最大带宽的限速百分比;自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成绝对速率。
(2) 配置限速通道的保障带宽、最大带宽的限速速率;自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成百分比。
(3) 更改父线路或者父通道的保障带宽、最大带宽、子通道的最大带宽、保障带宽自动根据百分比发生变化。
(1) 初次配置的带宽百分比是基数不会变。
(2) 用带宽/线路值=百分比A(如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。
(3) 调整线路后,用百分比A*调整后的线路=带宽值。如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。
(4) web页面qos通道页面编辑后提交。相当于带宽重新下发,需要以web页面当前的带宽和线路算百分比。
(1) ui先配置带宽后配置每ip的时候有检测,命令行配置perip带宽不检测。
(2) 如果上一步的基础上修改线路带宽后,页面不做检测,修改线路带宽不受影响。
(3) ui修改通道带宽或者编辑通道的时候,UI会检测perip大于通道最大带宽,弹出提示。
(4) 这种情况如果保存配置重启,配置不会丢失。
在透明部署模式下配置流量控制策略时,线路中绑定桥口或物理接口,流量控制策略均生效。
在三层部署模式下进行QoS时,线路中绑定的接口必须是三层接口,功能才能生效。另外,当使用bvi接口进行三层转发时,QoS线路需要绑定在bvi接口上才能生效。
在子接口模式下进行QoS时,线路中绑定的接口必须在子接口上做,绑定在子接口的物理口上不生效。
在聚合接口模式下进行QoS时,线路中绑定的接口必须在聚合接口上做,绑定在聚合接口的物理口上不生效。
可在命令行下执行“debug qos match”,通过debug消息可知道具体命中条目。
本地报文、非IP报文,另外桥接口报文只受物理口QOS策略限制不受桥口QOS策略限制。
可在命令行下执行“debug qos drop”,通过debug消息可知道数据包是否被QoS丢弃。
同一个接口既配置普通通道又配置限制通道,只会匹配限制通道,命中限制通道后不会继续匹配。
在外网口和内网口同时配置限制通道和普通通道,先匹配流量流入接口的策略,再匹配流量流出接口的策略。
为了提升QOS限制通道的处理性能,目前流量统计粒度比QOS通道的粗,流量统计存在5%左右的误差。
限制通道、惩罚通道、普通通道共用总规格256。
新增的限制通道和惩罚通道不需要绑定线路,与QOS线路并列显示,因此限制通道与线路和其它限制通道可以配置同一接口。
惩罚通道提供给限额策略引用,可以实现有条件的进入带宽限速,单独配置没有任何影响,只在限额策略引用之后生效。没有启用禁用选项。
支持,低版本是基于QOS通道来实现惩罚通道功能的,升级到支持惩罚通道功能的版本时,当设备重启后会自动删掉被限额策略引用的QOS通道,然后自动创建同名的惩罚通道,保证配置兼容。
一条流包正反两个方向,对于TCP流,设备根据流量发起方确定为正向流,匹配出方向带宽限制,五元组相同的另一个方向的反向流则匹配入方向带宽限制,对于UDP流由于无法区分正反向,会将流量进入设备的那一个方向确定为正向流,匹配出方向带宽限制,五元组相同的然后另一个方向的流确定为反向流匹配入方向带宽限制。综上,如果使用测试仪模拟UDP流量,两个方向的流如果五元组不一样,则均为UDP单向流,会同时命中惩罚通道出方向带宽限制。
自定义角色的管理员在可管理的通道内,可以配置匹配当前设备组织结构内的所有用户和用户组。
可以通过在本地创建一个同名账户,并分配流控策略的角色。将本地同名管理员指定到一级通道后,外部同名管理员即可管理对应通道的流控策略。
管理员发生删除或变更为不具备流控策略管理权限时,原有的流控通道管理员的指定关系会被删除。最新操作者信息不会变化。
管理员的父级管理员被删除以后,子级管理员也会全部被删除,原有的一级通道管理员指定关系会解除,对应这些管理员创建的通道不会被删除。
线路状态图标的详细说明如下表。
|
线路状态说明 |
线路状态图标 |
通道状态图标 |
|
线路禁用,流控关闭 |
|
不活跃 |
|
线路启用,流控关闭 |
|
|
|
线路禁用,流控开启,流控不生效 |
不活跃 |
不活跃 |
|
线路禁用,流控开启,流控生效 |
不活跃 |
不活跃 |
|
线路启用,流控开启,流控不生效 |
不活跃 |
|
|
线路启用,流控开启,流控生效 |
|
|
统计时间选择历史日期时,流量详情统计结果的平均速率是通过该时间段的总流量除以时间段来计算的,系统以第一个速率不为0的统计点开始计算时间,每经过10分钟,系统会向数据库中保存一次数据,系统根据当天总共保存数据的次数计算出时间段,从而计算出平均速率。
如果对系统时间进行了调整后,查看调整日期的流量详情数据,当调整时间的频率小于10分钟时,可能会出现数据还未入库的情况(只有后台触发了统计动作,才会有数据入库),所以计算平均速率的时候,只计算了已保存到数据库的时间段。调整时间之后没有入库的时间段不会计算到平均速率的区间中。
当对单个用户进行流量控制时,通道趋势图下面显示的实时速率为当前通道的速率,而用户排名的速率则是会话的最终速率。所以当一条会话被两条通道处理时,查看其中一条通道详情,显示的通道实时速率和该用户排名的速率就会不一致。
用户/应用流量排名的数据是来自于会话数据,如果用户识别没有开启,或者识别范围不正确,就无法获取指定的用户/应用排名。
设备启动之后定时器会进行第一次检查,删除当前时间30天之前的数据;如果设备一直处于运行状态时,定时器每隔一天时间进行一次检查,删除当前时间30天之前的数据。因此,如果修改系统时间为30之后的日期,设备还未启动检查,当前时间30天之前的历史数据没有删除。
这个问题是由浏览器机制决定的。有些浏览器(比如火狐)自身对内存的消耗较快,释放较差。如果使用的终端硬件性能较低,内存释放速度会特别慢。这种情况下,如果长时间保持打开通道详情统计页面时,会出现内存无法释放的现象。
设备的流量详情统计存在保护机制。当CPU0核使用率大于80%时,设备将不再进行流量详情数据的统计操作,统计流程进入保护状态,因此流量详情统计页面不显示统计数据。
当CPU0核使用率降低至低于80%时,统计流程恢复,设备正常进行流量详情数据统计。
自定义角色的管理员在可管理的通道内可以配置匹配当前设备组织结构内的所有用户和用户组。
可以通过在本地创建一个同名账户,并分配流控策略的角色。 将本地同名管理员指定到一级通道后,外部同名管理员就能管理对应通道了。
管理员发生删除或变更为不具备流控策略管理权限时,原有的流控通道管理员的指定关系会被删除。 最新操作者信息不会变化。
管理员的父级管理员被删除以后,子级管理员也会全部被删除,原有的一级通道管理员指定关系会解除,对应这些管理员创建的通道不会被删除。
支持日流量限额。
支持月流量限额。
支持流量提醒功能,达到阈值后,访问http后会弹出提醒页面。
支持日时长限额。
支持月时长限额。
支持时长提醒功能,达到阈值后,访问http后会弹出提醒页面。
支持惩罚方式为禁止上网。
支持惩罚方式为添加到流控通道。
仅支持流控子通道。
需配置一个非常用的服务来作为惩罚的低速通道。
当用户超出日限额进入惩罚状态,惩罚时间结束会重置“实际流量统计|在线时长”中的日限额,用户解除惩罚进入正常上网状态,并重新开始日限额统计。下次超出任一限额后会再次进入惩罚状态。
当用户超出月限额进入惩罚状态,惩罚时间结束会重置“实际流量统计|在线时长”中的日限额与月限额,用户解除惩罚进入正常上网状态,并重新开始日限额和月限额统计。下次超出任一限额后会再次进入惩罚状态。
限额提醒页面对http生效,https页面由于是加密的所以不生效。
限额策略根据五元组从上到下顺序匹配策略,同一个用户只会匹配到一条策略,对于限额实际应用场景来说,时长限额和流量限额是二选一的。
流量阻断后,用户产生的流量过设备仍然会进行统计,从另一方面可以帮助管理员判断是否有攻击或用户电脑是否中断一直产生异常流量。
限额策略配置修改后统计数据不清零,会在之前的基础上继续累加,如果希望将某个用户的统计数据清零可以在限额用户统计页面删除指定用户。
起始日期配置后,月限额定时器会启动,然后定时判断当前时间是否超过配置的时间,如果没有超过,限额会一直统计累加,如果超过当前配置的起始日期,就会把上个周期的统计清零,修改起始日期不会把之前的统计清零,会继续在之前的基础上累加的。
限额统计支持设备重启后恢复的机制,限额用户的统计数据会定期(1个小时)写到文件中,下次设备重启后,会从文件中读取之前的记录,避免设备重启后,限额统计被清零的情况。
限额统计是基于用户流量触发来统计在线时长,无流量不统计,与认证用户实际在线时长没有关系,是两个维度,避免认证用户在没有使用网络的时候也会被统计在线时长,出现严重统计误差(如永不超时)
是的,针对UDP流量不在源IP指定范围内时也能匹配上限额策略,因为UDP流量无法区分正反向,所以在匹配时会将流上的源目IP调换一下跟匹配条件对比一次,即做了双向匹配,避免下行流量先过设备时永远无法匹配上策略。
用户限额信息推送支持本地认证、短信认证、免认证和混合认证(本地认证、短信认证、免认证)。
首次匹配上策略后,可能会出现不显示限额信息推送按钮,需要手动刷新一下认证成功界面。
用户限额策略的限额用户统计数据不支持HA同步。目前HA主备和HA主主场景都不支持将限额策略的统计数据同步到到备机或备控设备,当HA发生切换时,用户会根据限额策略重新进行统计。
电脑必须要安装,如不安装会出现浏览器提示证书不合法无法访问的情况。
电脑端需要安正证书在浏览器的受信任根目录下,具体导入过程见【证书导入文档】。
证书有始发日期和结束日期,当导入证书以后,用户电脑当前时间小于证书的始发日期会导致证书无法使用。用户电脑当前时间大于证书的结束日期也会导致证书无法使用。
当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
Chrome浏览器原本打开的12306就是报非安全连接,并且Chrome和Firefox浏览器把全部http视为非安全连接。
如果两台防火墙串联(PC-设备1-设备2),设备1证书为mm.cer,设备2证书为https.cer,用户电脑应该导入设备1的证书mm.cer。
防火墙的证书必须和用户导入的证书一致,否则浏览器依然显示证书非安全。
手机端(Android/ios)都需要导入证书,如果不导入,手机端访问网址、发送邮件、升级系统都会报非安全连接或者验证错误。
不是。邮箱客户端只针对SMTP/POP3/IMAP协议、同时开启SSL加密的邮箱提供解密,有些邮箱客户端(网易邮箱大师/闪电邮)的smtp是使用的TLS加密,TLS加密不支持解密。
另外,由于QQ邮箱特有的加密方式,目前设备暂不支持对邮箱客户端中使用QQ邮箱的解密。
对于使用了HSTS技术的网站,配置https解密后会出现大概率打不开的情况,请将该域名排除。
支持对安卓、IOS移动终端的https审计,但必须导入证书,证书导入方法参考解密策略典配文档,部分移动终端自带浏览器访问页面时会报证书不安全的提示。
由于部分APP对证书有高安全级别的检验,移动终端导入的证书就会检验不通过,导致无法访问,如果出现此情况,则在解密策略中排除APP应用服务器的IP或者关闭解密策略。
需要在命令行配置sslproxy serial-random disable,由于ssl客户端生成的证书的序列号为服务端证书+随机数计算而成,每次序列号是变化的,对于某些手机端的浏览器安装了证书还是会存在合法性校验验证不过,会被浏览器拦截,这个时候如果弹出了继续浏览按钮,点击继续浏览,下一次ssl握手推送的证书和上一次证书的序列号不一致,还会被浏览器继续拦截,因此会一直弹告警,但是在配置了sslproxy serial-random disable后,会每10分钟变化一次随机数,这样点击继续浏览后两次的证书序列号是一致的,就不会存在一直弹安全告警了。
安卓系统手机、Linux系统PC不支持SSL解密证书的推送。
访问本地检测页面采用域名的形式,因此要求设备可以捕获下游用户DNS请求,用户把域名重定向到设备IP。
证书是否安装的检测基于用户实现,若下游存在nat或者其他共享地址上网的情况,第一次检测后,一个小时内不再进行检测。
证书推送需要配置解密策略,只针对解密对象中支持的域名有效,解密对象中不支持的域名,需要将域名单独添加到解密对象中。
是的,目前解密中的域名地址的匹配是通过监听DNS报文解析出IP地址,然后以此地址和目的地址进行匹配的,因此如果两个不同的域名绑定了相同的IP地址,只在HTTPS对象中配置了其中一个域名,另一个域名也是会进入解密流程的。
解密功能本质是https代理,作为服务器和客户端建立连接,作为客户端和服务器建立连接。作为服务器支持TLS 1.0、 TLS1.1、 TLS 1.2,作为客户端只支持TLS1.2
加密套件:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:AES256-SHA256:!RC4
广告对象配置支持16条。
广告策略配置支持16条。
一条广告策略可引用1-3个广告服务对象。
本地广告服务对象最多支持4张图片,图片格式目前支持jpg、png,不支持动态图片上传gif,不支持bmp格式图片。
策略中引用的广告对象必须种类相同,不可第三方及本地同时引用。且被引用的广告对象不可修改类型。
命令行不支持新建广告对象。只能修改一些参数,图片不支持修改,命令行主要做配置恢复。
命令行不支持图片导入,不支持图片ha。
一条策略里三组图片,如果图片位置一样的话,pc访问页面广告覆盖显示。
广告对象里的设备ip不通的情况下广告图片无法加载;策略里地址对象不通导致web页面打不开。
域名白名单模糊匹配(使用简单的字符串匹配)。配xw.qq.com访问www.xw.qq.com这才是包含关系。
手机广告对象弹出只有置中与广告对象上下左右不一致。广告对象位置信息只针对PC端生效,移动端全屏显示。支持配置多张图片,以轮播的形式展示,最多支持4张,且每张图片支持广告URL及描述配置。
广告推送如果跨网段推送广告。需要在下联用户的入接口开启http服务(推送模板需要基于设备的一些js库,需走设备入接口http服务)。
手机端UC浏览器需要关闭广告过滤推送的广告才能显示。
腾讯微博和新浪微博内置了域名白名单不会弹送广告。
某些网站安全检查走的是云加速,存在302跳转导致无法打开。开启云加速功能后无法抓到第一个GET包,目前手机qq浏览器需关闭“云加速”后才能够弹出广告。
163和126邮箱页面和广告模板存在兼容问题,不推送广告。
由于某些网站类型限制,导致插入广告后会存在网页打不开现象。网页刷新三次后可以打开(为了提高推送广告的成功率,广告间隔60秒里推送2次)。
由于图片不支持HA主备,存在一个问题。在主墙配置好广告推送后,当主备发生切换后由于广告图片不支持同步,导致备变主后,图片为空,只有图片名称。此时需要手动删除广告对象里图片并且重新上传图片,广告功能才可使用。
每张图片默认展示3秒在加上1秒缓冲就是4秒,最多展示4张图片也就是4*3+1一共13秒。
广告推送白名单(只有命令行)。支持域名白名单(针对目的域名规格256条);支持基于源地址对象的广告白名单(规格256条)。
策略匹配顺序从上向下,如果上面策略匹配到的话,下面策略就不会在匹配。
广告策略里启用禁用是跳过当前这条配置;动作不推送,相当于命中这一条策略截止不继续往下匹配。不启用还得往下匹配。
每张图片上传大小最大是2M。
广告策略配置多个广告对象时。Pc端广告展示全部生效,移动端只生效一个,广告图片随机展示。
由于edge浏览器框架跨域不支持广告推送。
目前只支持HTTP网站弹送广告,不支持HTTPS网站弹送广告。
广告对象里图片需要删除替换时,当只有一张图片时不能删除,需要先添加新的图片上传后,才能删除需要删除的图片。
华为手机今日头条app的链接打开后广告会一直轮播无法关闭,原因是app与广告模板不兼容,不支持推送广告。
https网站类型使用http方式访问网页打不开,http页面访问被301重定向到https页面,导致无法显示。需要以https方式打开https类型的网站。
开启广告推送后访问部分网站广告可以弹出来网页也正常显示了但是过了几秒网页变成黑色,需要将该网站加入域名白名单,不推送广告。
广告推送只对域名方式的URL访问生效,对IP方式访问的URL不推送广告。
软件限制,策略重名时图片无法恢复,文字可以保留。
广告推送配置推送间隔非0时,会推送两次,目的是防止非浏览器的get报文导致广告推送不出去,虽然目前已有UA过滤,尽量避免非浏览器的推送,但做不到完全过滤掉非浏览器的报文。
推送广告后会影响HTTP页面的上传和下载,如需使用上传下载功能需修改配置使不对其推送广告。
仅域名访问支持广告推送。
PC侧IP地址如果是私网IP地址(比如:192.168.x.x 这类地址),访问的网络资源是公网资源,在这种跨域的情况下,会出现广告推送不生效的情况。出现该情况的原因是:浏览器兼容性升级,安全性升级,默认对私有网段的跨资源访问进行了限制。
规避方案:设备loopback口配置不常用公网ip(比如:22.22.22.22) 然后广告对象和广告策略 的设备ip配置这个loopback公网ip。
基于会话的源和目的IP来进行限制,当会话没有匹配到源IP地址,就会继续匹配目的IP地址。如果匹配到了源IP地址,那么不会继续匹配目的IP地址。限制的方式包括并发会话数和每秒新建会话数两种控制方式。
一条新建的流量能够同时匹配多条会话限制时,将以会话限制配置的从上到下顺序进行匹配,以配置在上面的条目为准。
比如对公司内部各IP进行会话数限制,地址对象为any,总会话数限制为200,每秒新建限制为10,对技术支持组的各IP进行会话限制,地址对象为192.168.2.0/24,总会话数限制为100,每秒新建限制为10。
配置了两条会话限制,技术支持组的地址对象包含于地址对象any。
查看限制阻断,匹配到192.168.2.0/24的地址的会话限制都采用的是技术支持组的会话限制配置,符合预期效果。
可以,会话总数和每秒新建的速度,如果只希望限制一个,可以将另一个的数值设置为0,表示对该项不进行限制。
不可以,如果已经配置了某个地址对象的会话限制,那么下一次新建该地址对象的会话限制后,将覆盖之前配置的会话限制。
不会,由于会话已经建立,且数量大于当前配置的会话限制中的总数,下一次该地址对象的流量到来后,将不会受到会话限制的影响,除非该会话老化。如果一直有该地址对象的流量通过,那么该会话将无法老化,可以通过手动清除当前的会话,来使得会话限制对该地址对象立即生效。
支持,会话控制支持对IPv4地址和IPv6地址对象的会话进行控制。
同一个小米手机会带多个终端型号:如MI2会同时带MI2、MI2S的终端标识,终端类型会显示成先识别的终端标识,这样就可能会把MI2识别成MI2S。
同一个小米手机会带多个终端型号:如MI2会同时带MI2、MI2S的终端标识,为防止误识别,小米手机型号不能作为用户唯一的标识。
目前暂不支持防共享监控用户列表HA主备同步,主备切换后需要重新检测共享终端。
阻断提示中<frozen-time>的单位是动态显示的,大于1分钟时会自动以分钟为单位,小于1分钟时会自动以秒为单位。
不可以,至少需要选择一种共享检测方式。
共享接入日志只有自动阻断或限速的才会产生日志,手动在共享接入监控页面操作栏上手动冻结或限速配置的惩罚用户不会产生日志。
防共享接入检测如果检测到终端数量已经达到阈值,且惩罚方式配置了阻断或限速,直至超时之前都将不再检测,只有超时之后才会检测;如果惩罚方式配置的是无或者配置了白名单,则达到阈值之后会继续检测。
当内网共享用户达到检测阈值之后,需要配置解密类型为HTTPS解密的SSL解密策略,且HTTPS对象需包含访问HTTPS页面的域名,访问https网页时,才会弹出阻断提示。
移动终端管理策略只控制移动终端和多终端用户,不控制PC端用户。
移动用户识别,通过UA(移动终端访问网站是带的字段)和应用特征来识别移动终端用户。
目前终端发现趋势图是按照分钟、小时、天的粒度进行查询:6小时以内按分钟粒度显示,6小时-7天按小时粒度显示,7天以上按天的粒度显示。当查询时间为6小时以上,系统以小时或天为粒度显示时,会出现查询时间与趋势图实际显示的时间范围不一致的情况。
例如:查询时间为2023-04-10 11:11至2023-04-10 16:23,显示时间范围为2023-04-10 11:11至2023-04-10 16:23;查询时间2023-04-10 11:11至2023-04-10 18:23,显示时间范围为2023-04-10 11:11至2023-04-10 18:11;查询时间2023-04-10 11:11至2023-04-18 16:23,显示时间范围为2023-04-10 11:11至2023-04-18 11:11。
是否没有更新最新入侵防御特征库。
规则中包含的签名集需要包含要检测的签名。
防止外部攻击防御,开启该功能以预防。
由于部分特征需要修改检测深度才行识别,可以通过配置max-ips-detect 4096命令,提升检测深度,注:此命令只适合测试使用,实际使用开启此命令,会导致性能大幅度下降。
设备同时配置有日志聚合和告警规则时,告警规则优先,即:匹配命中告警规则的报文产生的日志不聚合。
除了自定义规则,其它所有配置不进行恢复,如果原来控制策略中配置了IPS策略,则默认恢复为引用All模板的IPS策略。
· IPS日志聚合配置会丢失。
· IPS所有模板以及模板下的规则配置和协议异常配置都会丢失。
· IPS自定义规则会丢失。
· IPS高级告警配置会丢失。
设备的内存大小不同,IPS规则模板的规格也不同。具体规格如下:
· 内存为1G的设备,IPS模板最多支持16个;
· 内存为2G-4G的设备,IPS模板最多支持32个;
· 内网为8G及以上的设备,IPS模板最多支持64个。
以上规则总数包含4个预定义规则模板。
IPS自定义规则最多可配置32条,每条自定义规则最多可包含8个协议字段,每个协议字段最多可包含8个协议匹配条件。
IPS模板分为预定义规则模板、派生规则模板和自定义规则模板:
· 预定义模板:由系统自动创建,不允许增加或删除,每条规则的配置也不允许修改。
· 派生模板:由预定义规则模板派生而来,不允许增加或删除,但是可以修改每条规则的配置。
· 自定义模板:由用户自己定义创建,其中包含的规则以及配置都可以修改。
为了减小IPS规则过多而导致配置文件太大,影响设备启动,对IPS规则保存格式进行了精简保存,从而提升设备启动速度。
每条规则的保存格式,以“52224 14107200”为例说明:
第一段52224是ID,后面第一位表示启用禁用(0或1),第二位是日志级别(1/4/5/6/8),第三位表示阻断(0或1),第四位表示抓包(0或1),后面几位表示隔离规则:如果不隔离是0,如果隔离,则表示为隔离时间,比如7200(秒)。
IPS规则,使用命令display running-config查看不到,只有导出配置的时候保存为配置文件:IPS.cfg。
IPS规则如果配置了阻断,命中该规则后会丢弃当前报文。如果是TCP协议,阻断会发rst;如果是UDP协议,阻断直接丢弃报文。阻断只是阻断当前连接或会话。
IPS规则如果配置了隔离,命中该规则后会将报文的源地址加入加黑名单(时间可配置),加黑名单以后,该地址用户后续的报文都会阻断。
IPS的防逃避功能只能通过命令行开启,Web页面不支持配置,此功能开启后对性能影响比较大,不建议开启,仅在特殊场景下使用。
例如聚合方式为“根据源IP和目的IP聚合”,所有源IP、目的IP相同的流产生的攻击会统计在一条日志中,定时发送一条日志。日志中会有汇聚参数字段,汇聚次数是这段时间内产生的总的攻击次数,定时器是1分钟。
如果日志链表里有超过256条日志的话,多于256条的部分日志,会在下一个一分钟发送。比如按照源地址聚合,构造了300个源地址的攻击报文,有256个是1分钟发一次日志,聚合次数就是这一分钟内命中规则的次数。剩下的44条日志会在第二分钟发送,如果回放2分钟,就是2分钟的总命中次数。
如果在大流量场景下,如果将DNS域名长度配置为较小的值,并且配置了日志聚合。因为长度很小,导致产生了很多日志,在配置日志聚合的情况下,日志都被缓存了。日志聚合的缓存大小是50000条,然后以每分钟256条的速度进行入库,在日志量很大缓存满的时候,会需要约3小时(50000/256 = 195分钟)才能全部入库完成。
所以,在将DNS域名长度配置成1024时,并不是检测错误产生了日志,而是之前缓存的日志还在不停入库。
因为目前仅支持木马后门、蠕虫病毒、挖矿、webshell、木马外联五类攻击,因为这五类攻击是攻击渗透成功之后做的向外传输数据的动作,一般有这种流量基本确定内网已有主机被攻陷,所以能断定被攻击成功,其他种类攻击目前暂不支持判断,成功标志为否。
是的,告警日志存储在sqlite库,日志里面会记录任务启动及结束时间,为了增加查询效率日志中记录了任务执行期间日志的起始及结束索引ID。
在日志量较大时,日志入pg库存在可能存在一定时延,可能有少部分日志会统计在下一个周期内,存在一定误差。
有无硬盘的设备都可以在入侵防御规则里对抓包项进行配置,但无硬盘设备不支持抓包功能对应日志页面无抓包字段。
问题原因:
(1) 当页面布局和组件使用的比较多的时候,完整的解析组件就需要一个过程,而在这个过程中就会出现该现象。
(2) 如果将加载延迟时间调大,会造成设备正常的时候页面加载比较慢。
该问题为系统软件限制。
目前支持对zip、gz、bz2等压缩文件进行扫描。
FTP客户端软件下载部分文件存在概率出现断点续传的情况,被阻断的报文会另起会话进行传输。
某些情况下IMAP协议传输会出现大量报文乱序的情况,目前设备默认规格是支持20个乱序报文重组,已新增命令application tcprsm level [20-80]可配置支持重组乱序报文个数是20-80个。
只支持二进制方式传输,一般FTP客户端默认是自动选择传输方式,优先使用二进制方式。
WebMail只支持126/163邮箱,且单个附件存在分多个post上传的情况,此种情况无法识别。
是的,病毒防护功能是通过计算传输文件的MD5值和特征库比较来确认是否为病毒文件的,计算md5的时候需要文件已经是一个收集完整的文件,而断点续传的话,有可能属于多条流,目前无法组合多条流相关数据来统一计算md5,从而无法进行阻断。
原因是因为ASCII传输方式会将文件中换行符号\r\n(16进制是0x0d0a)转换为\n(0x0a),导致文件MD5值改变,从而使得病毒检测失效。
文件名称不区分大小写,当大小写配置同时存在且有一个状态为启用,则该文件名称检测为启用状态。
R6616版本使用的病毒库后缀名为uvd,R6616以下版本使用的病毒库后缀名为uaxca。
R6616及以上版本的病毒检测支持基于MD5检测、PE格式检测及Body病毒内容检测三种检测方式,优先级依次是MD5->PE->Body。
关闭nd学习必须配合IP-MAC绑定使用,否则对端无法学习到设备MAC,造成业务不通。
在扫描攻击防御中启用加入黑名单功能后,当一个IP地址被识别为攻击源后,会被自动加入黑名单,并在设定的时间丢弃所有该IP发送的报文。
新建已存在黑名单,会进行替换,下发成功后会替换之前的黑名单,并且不会增加黑名单条数,如果已经满规格,进行新的配置,才会给出已超过规格的提示。
答:不一定,以下两种情况不能记录破解账号:
1、目前防暴力破解日志支持对于telnet、ftp、pop3和smtp这4种协议记录破解账号,其他协议不支持。
2、如果解码时获取不到用户名,防暴力破解则无法记录破解账号。
支持网桥模式、路由模式、旁路模式,其中旁路模式只支持检测,其余模式支持检测和阻断
基于异常报文检测方式适用设备部署在NAT后场景,所有和基于流量模型检测适用于除NAT后之外的场景。
dns-tunnel日志一天最多入库5W条,超过5W条后,覆盖最早的日志。
dns-tunnel缓存规格5000条包括所有dns-tunnel的流量。规格超了,就走dns-tunnel检测流程。
Dns隧道动作允许和拒绝都可以记录日志。
dns-tunnel报文匹配阻断并且加入黑名单后,后续的报文再过来直接在黑名单那里就阻断,不会再走dns隧道检测流程。
预置白名单是指在(网络配置-基础网络-DNS服务器下配置的DNS服务器地址)勾选后不会再走dns-tunnel流程。
最大支持64个自定义DNS服务器地址。配置后不会再走dns-tunnel流程。
全局白名单开启后不会再走dns-tunnel流程。
桥和旁路模式,并且是反向报文触发攻击日志的发送的情况,mac记为:-。
相同源、目的ip、源端口的dns-tunnel流5分钟报一条日志,日志发送是没锁的,偶尔可能间隔不完全准确。
记录的是检测到dns隧道的原因,有两种情况,一种是满足dns请求报文个数超过阈值,记为:DNS流量过大,一种是既满足请求报文个数超过阈值又存在异常报文情况,记为:DNS流量过大且存在异常报文。
非法外联学习共有2个维度,一个是时间,一个是学习规格500,满足任意维度停止学习。
当协议报文交互不成功,会导致连接不成功,扫描结果报连接错误,属于正常现象
比如:telnet 协议,客户端与服务器交互时,服务器未返回期望报文,则扫描结果中报连接错误。
是的。
(1) 端口扫描功能创建子进程完成扫描任务,父进程监听管理子进程,当父进程接收到暂停任务消息后,会给子进程发送信号,子进程接收到信号后记录标记,暂停子进程时为保证数据的准确性,采用异步实现,单个主机处理完毕之后再暂停并退出;
(2) 子进程扫描分为两个步骤:
a)读取文件中的地址逐个ping,根据ping响应结果记录up/down状态;
b)循环IP地址,根据up/down状态判断是否发起ip端口扫描请求。
(3) 当子进程在处理ping过程中,为了保证数据准确性,不会处理父进程发送的暂停任务消息,等待ping过程处理完,再处理任务暂停消息;
(4) 由于立即执行只允许一个任务存在,当前功能没有设置IP范围规格,当配置IP范围较大时,对于ping不通的地址,处理过程时间较长,故任务状态得不到更新,当IP范围较小时,任务状态更新正常。
端口扫描待执行任务到指定时间如果有其它任务在执行,会对当前任务记录1分钟的定时器,如果1分钟之后当前任务还未开始执行,那么就不会再执行,需要等到下一个周期执行。
HA主备模式下端口扫描和弱密码扫描立即执行任务不同步备机;创建的定期同步任务同步备机,扫描结果不同步;备机没有权限删除端口扫描结果和弱密码扫描结果。
HA主主配置同步模式下端口扫描和弱密码任务立即执行和定期执行条目任务同步备控,备控根据自身网络和流量产生相应结果;备控可以删除端口扫描结果和弱密码扫描结果。
端口扫描立即执行任务创建后,时间会显示为条目新建时间,任务执行完毕后,时间会被赋值为扫描开始时间。
该页面将任务分为正在执行、待执行任务和历史任务,立即执行任务完成后变为历史任务,位置在定期任务之后。
由于归属地是从网上获取的IPDB库里的信息,非本地保存数据,设备只通过接口调用获取归属地信息,暂不能保证归属地的正确性。
扫描结果页面最大显示5000条数据,导出支持全部数据。
端口扫描立即执行任务条目只做一次配置恢复,不支持降级,降级后再次升级需要重新配置条目。
弱密码扫描模块的立即执行扫描任务条目配置完成后立即开始扫描,扫描完成后,该条目变成历史记录,等于条目已经失效,不会写配置文件。
升级后弱密码立即扫描条目不进行恢复,重新配置即可。
将设备从R6616以下版本升级到R6616版本后,端口扫描和弱密码扫描结果不进行恢复。
WEB防护中的CC攻击防护在修改防护范围的时候访问次数会变成默认值
CC攻击防护的防护范围配置在全站和指定URL这两个方式只能选择一种,全站的防护的范围会比较广,所以默认给的阈值比较大,指定URL,是针对某一个URL的访问防护,所以默认阈值比较小,在进行切换的时候,由于全站的访问次数配置的比较大,切换到指定UR防护,不进行修改的话会影响指定指定URL的防护效果,反之指定URL配置的较小,切换到全站如果不进行修改的话会造成误阻断,所以切换方式的话就默认变成了推荐值,防止影响CC攻击防护功能的使用效果。
Web防护日志的规格防护日志和高级防护日志支持统计最近5W条日志进行分析。
设备中描述字段的长度范围统一限制为0-127字符,WEB防护日志的描述列入库的字符会超过127字符,WEB防护日志查询条件中,事件描述的输入范围为0-127字符,不支持超过127字符的描述查询,可通过模糊匹配查询事件描述信息。
网页防篡改功能不支持防护动态页面,只保护静态页面;访问一个静态页面5次之后,页面被篡改才会有告警。每次访问后需要清理浏览器缓存。
多条精确访问控制规则之间是或的关系,匹配顺序为从上往下顺序匹配,如果匹配中某一条精确访问控制规则,就不再匹配后续的规则。
一条精确访问控制规则可以包含10个匹配条件,多个匹配条件之间是与的关系,流量必须满足该条规则的所有条件,才能命中该条规则。
外联地址支持配置IP或者域名,配置域名的情况下,域名不能直接参与匹配,需要先对经过设备的DNS流量进行学习,记录域名对应的IP地址,匹配服务器外联地址时,与学习到的域名对应IP进行匹配。
防护策略命令行配置精准控制访问(及其它防护规则)输入url时,url 后面必须输入完整配置命令,不能进行缩写,否则会出现HA环境下配置不同步的问题,正确格式如:url contain content /test.html;错误格式如:ur con con /test.html。
设备支持转义字符 \x,不支持转义字符 \t, \u,请检查配置中是否包含不支持的转义符。
暂不支持<>&配置,若配置<>&字符会转义。
白名单优先级高于黑名单,按照全局白名单走,不去匹配黑名单。
只有会话中源地址配置了白名单,才会走白名单流程,不匹配上网行为相关策略。
白名单查询支持模糊匹配,没有进行名称、地址、描述的区分。
支持,全局白名单的地址可以配置为IPv6地址。但是在旁路接入的场景下,全局白名单对IPv6地址不生效。
会影响,编辑一个白名单时会清空所有会话白名单的匹配标记,会话需要重新匹配白名单。
由于有些门户网站(如百度)内元素较多,存在未加入白名单的外链资源引用的情况,地址匹配不通过,被控制策略拒绝,就会出现页面加载不全的现象。
针对包含资源比较庞大且来源复杂的情况下,比如门户网站,可以使用自定义URL策略的方式配置,匹配http请求头refer字段的方式解决外链资源被拒绝的问题。
如果全部的黑名单条目(包含过期条目)小于等于4万条,过期的黑名单可以被人为手动删除,但是不会被自动删除;
如果全部的黑明单条目(包含过期条目)大于4万条,会触发过期条目自动删除机制。每隔5分钟自动删除一次过期条目;
未过期的有效条目永远不会被自动删除,并且只会删除超过4万条的过期的部分,删除的规则为按照黑名单ID从小到大依次删除过期的条目。当删到剩余条目小于4万条的时候停止删除。
配置的时候,按配置的先后顺序显示(先配置的在上面,后配置的在下面)。 但是重启之后,顺序会变,有效的条目排在前面,过期的条目排在后面。
黑名单配置不支持从F6613及以上版本降级到以下的版本的配置恢复。
F6613以前的版本升级F6613版本时,只有永久黑名单条目的配置会恢复,其它的黑名单配置会被丢掉。
· 保存重启前共计4万条(全过期)的黑名单条目,保存重启后4万条过期的条目还在。(因为没有超过4万条,没有触发自动删除过期黑名单的机制)
· 条目有可能丢失。 所有的非手工/永久的黑名单都不是存在配置文件里面的,而是存在blist-configure文件里面的。存在blist-configure文件里面的条目不受保存命令的作用,而是自己有一套自动保存的机制。这个机制是:每隔5分钟自动保存一次。定时器的启始时间为:设备开机,到黑名单这个进程时候开始,定时器开始启动。配置了黑名单(非永久手工),有可能没有到没5分钟的保存时长,就保存配置重启了,此时重启后,刚才配置的黑名单会丢失。比如:WEB UI 上删除了黑名单,然后保存配置重启设备。重启之后,这些被删除的黑名单记录有可能没有被删除掉。
· save configure 针对是系统配置文件,只有手工/永久的条目会存到 系统配置文件中,所以满规格5万条手工永久的条目保存重启起来加载 会非常慢,速度是一秒30条。5万条的话大概是,最严重的情况下可能在35分钟左右。如果是5万条满规格的手工永久条目,保存重启所花的时间很有可能会超过40分钟。
黑名单域名总长度不能超过63个字符,最后一个.后面的字符不能超过3个:比如:baidu.com是正确的,配置为baidu.com1则会提示错误。
以配置域名为baidu.com、www.baidu.com为例:
· 如配置baidu.com 为黑名单,匹配以baidu.com结尾的域名,如:www.baidu.com / news.baidu.com / haokan.baidu.com/ map.baidu.com 都会无法访问。
· 如配置www.baidu.com 为黑名单,仅匹配 www.baidu.com这个域名,若存在一个abc.www.baidu.com这个样的域名也会匹配。但是 news.baidu.com/map.baidu.com/haokan.baidu.com则不会匹配,可以正常访问。
最大规格是500条自定义应用,如果导出超过500条的文件,则只有导进500条成功。
尽量不要选择已经被使用的端口。
不是,只需要在目标端口、IP、域名或URL任选一个填写即可。
首先用户没有识别,那就是用户地址不在识别范围内,更改用户全局配置里识别范围后,清一下会话,再匹配自定义应用流量过设备。
自定义应用不支持审计,因为每一种应用的审计日志都是需要通过事先分析应用中的特征来提取出对应的审计规则才能正常产生审计日志,对于自定义应用由于只是根据IP、端口、URL等规则做简单的流量识别,所以无对应的审计规则,无法产生审计日志,自定义应用阻断日志同其它所有预定义应用的阻断日志一样发送到应用控制日志中。
自定义应用识别只改变应用ID,不会改变基础协议;以FTP协议为例,配置端口21 为自定义应用test,则该应用是test,但基础协议仍是FTP,避免不能进入FTP协议解析流程,导致其他依赖于FTP协议解析的杀毒等功能不生效。
“严格”是特征+多线程识别方式,“宽松”是使用多线程识别方式,有误报的可能。
P2P智能识别,是针对UDP流量进行固定特征+并发连接识别方式,“严格”和“适中”都是先进行并发连接识别,再进行固定特征识别,“严格”要求并发连接阈值高。“宽松”是固定特征识别方式,有误报的可能。
此功能是对迅雷及P2P行为识别的加强,优先特征识别,在特征未识别出来的时候才会走到此智能识别,由于迅雷及P2P应用的复杂及特征多变性,不可能做到100%准确识别,只能通过此功能来提高识别率,p2p行为的智能识别,是针对于udp流量,当一条流前20个包未识别出具体应用时,做p2p智能识别,设备中有一个端口配置文件,记录一些常见P2P应用的端口,此文件是随特征库一起升级更新的,主要支持以下常见的P2P应用(这些不能保证100%准确,随着其版本的更新可能会有变化,如果发生变化,我们更新相关配置文件即可,版本不需修改)
(1) P2P软件支持:脱兔、快车、utorrent、比特精灵、比特彗星。
(2) P2P流媒体(客户端)支持:优酷、芒果TV、芒果TV、YY直播、腾讯视频、爱奇艺、PPTV、搜狐视频。
迅雷的应用很复杂而且有些还是加密传输的,可能会出现识别流量不全或未识别的情况,比如某些特征改变或者其报文加密算法变更,将无法识别出来,这些并不是版本功能问题,可通过更新版本特征库解决。
HTTPS网站由于带有443端口,只能识别为“网页浏览(HTTP)”。
地址本域名是指在地址对象中支持添加域名方式的对象,并支持在其它策略中引用。
地址本域名支持添加域名形式的地址对象,设备会将域名解析成对应的IP地址,在策略匹配过程中实际还是直接匹配的IP,如果发现策略命中不生效,检查设备是否配置了DNS,以及查看域名是否成功解析成了IP地址。
在管理员、地址对象等模块,向地址列表中添加IP地址时,前端只校验IP地址格式的合法性,不校验IP地址是否符合业务逻辑,业务逻辑统一由后端校验。因此,如果添加的IP地址不符合业务逻辑,在提交后才会有提示信息。
HA主备环境下导入时,导入替换成功后,修改导入文件再次导入时如果有报错,立即再修改导入文件导入,选择“跳过”已经存在的数据,此时配置不能同步到备机。
导入文件同步到备机后,备机导入流程处理完后将同步状态更新至主机,主机收到通知后会更改状态,后面导入同一功能的文件时,会检查该状态,如果间隔时间太短状态还没有更新,会导致HA主备配置不能同步。
HA主备环境下导入地址对象或服务对象,在HA主设备进行了删除操作,可能会出现主备配置不同步。
导入与HA同步是异步进行的,在HA主设备已经导入完成后,备机正在执行导入过程时,在HA主机删除了相关的配置,而备机还没有导入完成,此时同步过来的删除指令是无条目删除的,后来备机导入的配置已经下发成功,而主机已经删除了此配置,因此会出现主备配置不同步。
地址对象导出的CSV文件中,只包括用户自定义的地址对象信息,不包括预定义地址对象的信息。
导入地址对象或服务对象时,如果导入的CSV文件中,一个自定义服务对象包含多个项目,且每个项目的描述信息不同,导入设备后,最后一个项目的描述信息会生效。
地址探测被其他模块引用,无法通过导入替换进行修改。
地址探测信息目前只能进行删除和新增操作,在导入时需要删除原来的配置后再新建。如果是已经被其他模块引用,就会提示“该地址探测被引用,无法删除”,无法进行替换修改。
通过设备导入地址对象或服务对象时,系统会进行两次校验:
第一次是读取导入文件时进行的校验,如果文件校验出文件内容有错误则进行报错提示;此时导入数据未真实下发,如果系统报错、导入失败,相关的配置会回滚到导入之前的配置
简单的错误检查在并进行报错提示
第二次是读取导入文件后,真实导入文件数据,配置下发的过程中进行的校验,系统会对于进行逻辑较复杂的校验,如果检验出错误提示报错,此时已导入的数据无法进行回滚,报错所在行之前内容导入成功,报错所在行及之后内容导入失败。
目前不支持回滚的情况如下:
· 地址组、服务组成员超层级规格;
· 内存申请失败。
是的,当地址对象循环嵌套时,设备启动过程中进行配置恢复时需要不断遍历查找地址对象,导致启动时间会很长,2G内存的设备达到20分钟以上。
由于每一个归属地对象内包含大量的IP地址,在设备上创建了引用归属地对象的策略后,系统会对所引用归属地对象的所有IP地址进行算法处理,会导致CPU0等控制核负载瞬间升高并消耗大量内存,造成命令行及页面的出现短暂卡顿,性能较低的设备上的卡顿现象会更明显。
因此,建议使用内存8G及以下的设备时,谨慎引用归属地对象。
例如:
如需阻断除中国以外的所有地区时,建议勾选中国进行放通,而不是全选其他地区进行阻断。
进入WEB页面内的“对象管理>地址>地址探测”点击新建地址探测。
进入WEB页面内的“对象管理>地址>地址探测”查看探测track的间隔时间和重试次数是否时间太短。建议探测间隔时间和重试次数使用默认值10*4。
进入WEB页面内的“对象管理>地址>地址探测”查看探测track状态失败,先确定配置的探测条目tcp端口是否打开。
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
不会。如果未指定出接口,默认在VRF root下查找路由,如需对VRF下的路由探测,必须指定出接口。
(1) 设备备墙上查看HA配置。
(2) 设备备墙上查看HA所关联track状态是否为Failed。
(3) 设备备墙查看引用的track对象的探测目标是从哪个接口出去的。
(4) 设备备墙在探测目标的接口下配置管理ip地址。
(1) Track联动HA时,因为HA备设备只允许源地址为管理地址的报文发送,所以需要将探测报文的源地址指定为接口的管理地址。
(2) Track联动HA时不支持跨网段的探测,因为跨网段的话,你要把往其它网段的报文发到HA管理IP的网关上,备设备看来,HA管理IP的网关就是它自己,但是它自己是备状态,报文发不出。
支持上传公告页面功能,但上传页面文件不能超过2M,文件格式见默认模板。
编辑公告页面时,可支持插入图片、文件及链接,但是所有资源不能超过2M。
页面超过2M后,需要到文件(图片)服务器里删除,然后再提交。
1、针对HTTPS网站在触发控制时,URL控制、恶意URL、防共享、移动终端管理支持公告页面推送。
2、支持进程及用户态协议栈两种方式的HTTPS公告页面推送。
只要低版本进行了公告内容的编辑操作,都会进行配置保存,如果想升级后该页面显示为最新展示内容,需要进行页面重置操作。
是的。证书的显示,使用系统函数readdir遍历读取目录文件,页面的显示顺序取决于通过系统函数readdir读取的结果,而不基于文件创建的时间,也不根据名称排序。
不支持。由于证书以文件形式存储在设备中,不保存在配置文件中。因此导入配置文件,不会恢复本地证书、CA、CRL及国密证书文件。
(1) 用户的规格是根据不同设备型号(不同的内存来决定的,范围是4096-32768)。
(2) 用户组的规格所有设备相同,均为1024。
用户页面能够完整显示前3个用户组,剩余的用户组通过省略号代替,但是会显示具体的所属用户组个数。
用户组中引用用户的规格为2048,当所选用户超过2048个,无法全选移动到指定用户组。
用户支持批量移动,用户组不支持批量移动,仅支持单独移动。
不会,用户组织结构支持同名用户组存在,但是需要通过路径来区分,如果将一个路径下的用户组移动到另一个路径下,实现机制为,提示:操作成功,没有冲突的用户组会直接移动,存在冲突的用户组仍然保持不动。
(1) 用户导入支持追加导入,不支持覆盖导入,如导入文件中的用户与系统中已存在用户名称相同,则导入失败。回退导入操作。
(2) 导入/导出的文件后缀格式(.csv)。
(3) 直接选择导出时,导出所有用户和用户组
(4) 选择用户后点击导出,会导出被选中的用户。
(5) 选择用户组导出,只导出被选中的用户组,该用户组下未被选中的子组或子用户不会被导出。
不支持,因为跨版本间用户配置的字段变化较大,系统不支持跨版本导入用户CSV文件。
该情况产生主要是使用了非正常操作,当管理员在浏览器中选择需要上传的配置文件后,并未上传文件,直接去手动修改文件名称或直接删除了文件,导致选择要上传的配置文件不存在。此时浏览器的前端脚本是无法检测到系统文件变更的,当执行上传动作时会启动进度条按钮,由于文件不存在进而导致上传行为异常,最终无法监控到上传状态,关闭进度框。此情况实际使用中出现概率较小,即使出现了,刷新下页面即可,实际影响很小,其他页面也存在类似情况,特此进行说明。
由于命令行下输入的中文字符类型可能是UTF-8,可能是ANSI,也可能是其它的编码格式。而且中文字符是2个char型,不同类型的编码是不一样的,这个无法进行限制;如果对其中的一种编码的中文字符做了限制,但是在其它的编码中可能并不是异常字符,这样限制就会有问题。因此目前命令行对以上中文非法字符未作处理,目前很多模块由于此种情况均存在未对中文特殊字符进行检查,Web页面的检查与命令行保持一致,也是支持以上中文字符的。
在用户组织结构下用户组最多可以建8级。
在用户组织结构根目录下,选择“用户>所有页”,批量编辑用户的状态,只有根路径“/”下的用户状态能成功编辑,其它组下的用户状态不变。
配置的排除地址必须要在绑定范围内才会生效,否则提示排除地址不合法。
其它模块引用用户最多引用64个用户对象。
在根组导出组织结构,会导出所有用户和用户组,但是不包括属性组,点击属性组后导出的为属性组。
· 本地认证不会新建用户组;
· 静态绑定ip和静态绑定mac不会新建用户组;
· portal认证会新建用户组:portal-server用户;
· 短信认证会新建用户组:短信用户;
· 免认证会新建用户组:免认证用户;
· 微信认证会新建用户组:微信用户;
· 混合认证会根据用户选择的哪种认证方式认证后进行创建不同的组,认证方式为选择的认证类型方式;
· 二维码认证会新建用户组:二维码用户;
· 单点登录会新建用户组:单点登录用户;
· IMC推送UDP9999会新建用户组:IMC用户,所属组IMC用户,认证方式为imc;
· 第三方radius用户认证会新建用户组:Radius用户组,认证方式为第三方Radius认证;
· 第三方ldap用户认证会新建用户组:Ldap用户组,认证方式为第三方Ldap认证。
根据不同硬件类型,每个组下最多允许对象也不一样,但是在默认组下允许对象数没有限制,但也不会超过最大规格。
如果在导入时有用户被引用,会出现导入不全的情况,因为导入的时候是先删除用户再导入用户,而被引用的用户,是无法被删除的,此时出错,那么退出,故导致导入不全。存在此情况时建议使用“跳过,不导入该用户”的方式
目前我们设备使用的 yyyy-mm-dd的风格进行显示。
csv的源文件使用Notepad++打开显示的也是yyyy-mm-dd风格。
csv默认使用Excel打开时间显示类型为yyyy/mm/dd,可以修改时间的显示格式,修改为yyyy-mm-dd,如下图所示:
仅允许绑定1个IPv6地址,因为用户绑定配置限制条数为256个,防止IPV6地址使用掩码配置范围超出范围。
1、管理员创建用户组时支持配置IP录入范围
2、当IP属于录入范围时,以IP地址作为用户名创本地用户,并录入到用户组
3、对应的IP地址的用户可以在上线用户组中显示在对应的用户组下
4、录入的用户以静态绑定方式上线,并记录上线日志(在线用户不支持同步-备机通过流量触发上线)
1、 该功能只针对认证过程发生在本地的本地用户生效。对于LDAP同步过来的用户,认证过程发生在LDAP服务器的场景,每用户终端个数限制功能不生效。
2、 对于用户终端个数限制,可以通过以下两种方式进行配置:
a) 用户配置:在用户配置界面,选择“高级配置”,配置“用户登录唯一性检查”。
b) 全局配置:“认证管理>认证方式>本地WEB认证”,配置“用户登录唯一性检查”。
3、用户配置的优先级大于全局配置的优先级。
4、修改用户配置会强制该用户下线;修改全局配置,不会强制所有用户下线。如果发生强制下线的情况,在上下线日志中会有记录。
在R6616以下版本中,自注册用户的保存与本地创建用户的保存没有进行区分,升级到R6616后自注册用户的创建属性为“管理员添加”。
因为R6611版本同步获取的用户全部以普通用户保存,没有与本地创建用户进行区分,升级到R6616后创建属性为“管理员添加”。
是的,需要手动踢用户下线或者删除录入用户。
R6616版本增加用户绑定地址条目数限制,用户绑定地址加排除地址条目最多为32条,超过的部分会丢失。且用户绑定地址加排除地址超过32条时,升级到R6616版本,串口会打印错误信息Error: User can only bind 32 configuration。
是的,用户组绑定录入用户中存储的文件中没有用户路径信息,无法完成兼容,可以先将设备升级到R6614最新版本,再升级到R6616版本。
不会,R6616版本新建完成后,左树会回到本地用户结构目录下,右边用户信息展示的是本地用户结构层级的内容。
LDAP同步条目128,SNMP同步规格64,ARP扫描条目64个。
LDAP同步录入用户不支持指定用户组,录入按照AD域上OU和安全组进行录入。
LDAP服务器用户名长度大于63字符后同步到设备用户名会截断成63字符。
LDAP服务器同步目前支持389明文传输,不支持636密文传输(加密跟服务器交互不了 身份验证不了)。
在用户管理>全局配置>第三方LDAP认证处,选择ldap组统一认证。
LDAP仅支持简单模式的联动认证,不支持匿名和通用模式的联动认证。
R6612及以上的版本,支持与Openldap、Windows AD域服务器的认证对接。
AD服务器上用户名超长(大于63字符),含有异常字符(汉字数字字母以及@._-()[]|以外的特殊字符)可以同步,不能录入到本地用户结构,系统日志会记录一条日志;同步过程中会依次在本地用户结构添加用户、用户组,本地满规格时无法录入,同步规格和本地用户规格相同。
LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
远端用户删除后重新同步LDAP组后,远端被删除的用户移除用户组,本地用户没被删除,不会影响到策略。
(1) 由于远端用户认证未下线所以本地即使没有该认证用户也不影响下联pc上网。
(2) 当远端pc认证用户下线后重新使用被删除的用户进行认证是提示用户不存在。
IPSec和SSLVPN条件下使用LDAP认证时,IPSes和SSLVPN认证使用用户名密码认证后,会从本地查找该用户名用户,若该用户不存在,则不会添加该用户到认证用户组。所以若使用该方式认证,需保证本地存在该用户。
LDAP定时同步设定的起始时间范围为0-23,同步间隔(30-86400秒)例如:配置起始时间为23,同步间隔为600秒,所代表的含义是时间从23点的第一次同步,往后间隔10分钟同步一次LDAP用户。
属性组只能引用LDAP安全组的组织结构,安全组下用户不允许直接被引用。提交后点击属性组查看,可以显示到安全组下的用户层面。
LDAP用户组名称允许同名,用户名称不允许同名。
· 设备本地存在用户组和ldap服务器上组名一样,可以把AD域上重名的用户录入到设备组下。
· 设备本地存在用户和ldap服务器上用户名称一样的话,不会把AD域上的用户录入到设备上。
(1) LDAP安全组和安全组下用户不允许删除,只可以编辑查看,不能修改。
(2) LDAP安全组和用户不允许导出和导入。
(3) LDAP安全组不允许录入其他用户(包含:认证策略里指定用户组,用户同步条目里的指定用户组,自注册里的用户组)。
(4) 第三方LDAP认证 用户属于多个组的情况下,在线用户中只显示一个组信息。
(5) 安全组同步过程中修改用户组,禁用或删除策略后会导致最终设备残留安全组无法删除。
(6) 两台AD服务器上有相同的用户,用户属于不同的安全组。同步后,设备上查看用户所属安全组有两台AD上的安全组。
正常情况下安全组不允许编辑,在特殊操作下可以移动:
如果手动在安全组父组下添加用户或其他组,全选移动,安全组可以被移动。
win2012 AD域下ou组以安全组方式同步到设备后,ou变成安全组。
不用层级的相同名称安全组占用多个用户组规格;一个用户属于多个安全组,该用户只占用1个用户规格。
(1) 编辑LDAP安全组同步任务:禁用、修改录入组、更换ldap时服务器,会删除修改之前的同步结果。(修改LDAP服务器的Base DN不会触发)。
(2) LDAP安全组同步任务在同步失败(密码错误、网络不可达、AD域上无安全组)时,会删除之前的未被引用的LDAP安全组和组下用户。
(1) R6613以下版本升级到R6613及以上版本后,LDAP同步条目里同步周期小时会换算成秒,配置可以兼容,设备起来后LDAP会立即同步一次。
(2) R6613及以上版本降级R6613以下版本后,LDAP同步条目丢失(R6613及以上版本改了同步间隔),LDAP安全组图标变成ou组,安全组下用户丢失(降级后需要手动创建LDAP同步条目重新同步一次ldap用户)。
AD域用户更新密码后,使用同步的ldap认证时,新旧密码都可以认证。在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。
这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。这样,即使新密码没有生效,旧密码依然可用。
测试2003的服务器,旧密码有效期为60分钟,自测60分钟后密码失效,此为AD域服务器的保护机制,不修改。
手动创建用户组、用户创建为本地用户,和ldap服务器上组、用户名称一样,点ldap同步,这个用户没法用ldap认证,ldap同步当存在重名用户时,只移动用户,不覆盖。
ldap组里第一个ldap服务器密码不对,用户在第二个服务器,此时用户认证浏览器无响应,目前处理不了跨域的ldap组认证,需要保障ldap组下地址可达,服务器密码正确。
HA主备环境LDAP服务器、ldap同步条目,ldap同步用户和ldap认证用户会同步到备机。
是的。更新LDAP服务器的DN后,可以先手动禁止该LDAP同步,原有的域组织结构会被删除,重新启用该LDAP同步,设备会根据修改后的DN进行同步。
问题原因如下:
同样的Base DN,通过不同版本的设备进行LDAP同步后,录入到本地的组织结构目录不同,比如Base DN:ou=test,ou=group2,dc=group1,dc=com,
· R6616以下版本 LDAP同步录入到本地的 组织结构的目录为:group1/group2/test;
· R6616及以上版本用户优化之后的处理方式为:只录入Base dn里面最后OU层级下面的组和用户到本地组织结构,即test组下的用户及用户组。
设备从R6616以下版本升级到R6616版本之后,再次进行同步,会直接把test目录下的层级结构再次同步到本地,因此目录层级有重复。
解决办法如下:
当设备升级到R6616之后,修改LDAP同步配置,将录入本地的用户组修改为 Base DN中的组织结构,比如/group1/group2/test,再次进行LDAP同步后,目录层级不会有混乱的状态,也不影响用户被策略引用。
并且R6616还增加了“域用户结构”的概念,此处组织结构同AD域上的结构是一致的,即group1/group2/test。
radius服务器是使用icmp检查,如果有回复则认为成功,ldap服务器是使用协议默认的tcp 389端口进行测试,并且会使用配置的管理员及密码进行验证,验证通过后才认为成功。
Windows 2008 及以上版本。
多个用户认证并行时,用户同步任务单线程处理,上一个同步任务完成后,才开始下一个同步任务。
在设备上进行批量操作时,系统IPC超时的可能性很大,建议在此过程中关闭实时保存配置。
不可以,设备目前不支持通过命令行编辑用户同步任务,同步任务配置比较复杂,建议使用Web页面进行配置。
arp扫描只支持扫描设备同网段用户。
arp扫描和SNMP录入支持指定用户组录入和不录入,如果配置的ARP扫描和SNMP同步未指定录入组,只扫描同步,录入用户。可以在同步结果页面,直接下载CSV文件、录入到指定用户组、支持IP-MAC绑定。
(1) 新建交换机条目的mac地址是与设备相连的交换机的地址。
(2) 设备配置的团体名需要跟交换机上的团体名一致。
(3) 团体名不能包含中文。
(4) 团体名配置包含字符单引号 ' 和反斜杠 \
开启SNMP同步后,交换机下的新用户IPMAC如果不能及时学习到,数据直接放通,在线用户列表中的MAC会显示成三层交换机的MAC。
如果交换机的MAC不在跨三层学习交换机列表中,直接拿数据MAC与IP-MAC绑定表比对。
如果交换机的MAC在跨三层学习列表中,先遍历IPMAC学习表获取真实MAC,然后再与IP-MAC绑定表比对。
如果旧表中有对应mac,则更新老化时间,如果没有,则新增。对于旧表中有但没有新学习到的mac,等老化后删除。
学习是分两步:
(1) snmp协议跟交换机交互报文,来学习IP/mac条目,并将IP/mac条目存到文件中(网络好时报文交互快,学的也快)。
(2) 从文件中读IP/mac,进行新旧对比并更新老化时间。
在跨三层环境下,由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化,用户刚上线时未学习到终端真实MAC地址,后期学习到终端真实MAC地址后,如果用户MAC敏感为关闭状态,用户不会重新识别会导致无法关联上静态绑定用户。
用户MAC敏感功能默认为disable状态,通过user mac-sensitive enable命令开启MAC敏感功能,当终端的MAC地址发生变化时重新进行用户认证识别上线。
随着网络攻击的多样化,对于js、sql注入攻击经常被市场扫出或提出风险,R6612版本对特殊字符配置做了全方面的安全加固,不允许配置敏感字符,考虑到配置兼容性,当前类似SQL注入风险字符的安全校验只在前端页面有检查,后端没有此类检查。因此在Web页面中无法配置,可以通过配置文件导入或命令行进行配置。该问题在多个模块均存在,出现此情况时可以在命令行下进行编辑修改,或者在页面将原带有异常注入字符的配置去掉,然后新建不带异常注入字符的配置即可。
(1) IPMAC表达到59000条时触发快速老化,将已经老化的IP/mac全清掉,规格满直接丢新的条目。
(2) 两次快速老化的时间间隔是10分钟。
正常情况下,全局开启跨三层扫描后启动老化定时器,30分钟执行一次老化,然后更新定时器的时间进行下一次老化,如果条目达到59000条,触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟;当再次达到59000条时,if判断当前时间-上次快速老化时间〈10分钟,什么都不做;否则触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟。
因为录入前没有流量做策略匹配导致获取不到录入的组,因此无法录入,这种情况需要用户重新弹认证页面上线才能够正常录入。
支持本地认证、短信认证、微信认证、免认证、Portal server认证、AD域单点登录、混合认证、二维码认证。
支持本地认证、短信认证、微信认证、免认证、访客二维码认证其中一种或多种认证方式组合。
如从4.2或老版本升级到4.5版本串口可能打印user-policy any any any any always permit 1,因为认证方式permit已经被删除,或者会打印user-webauth portal-url default-template,因为新版本认证策略机制修改,该命令已被删除,以前配置认证策略后,需要在认证方式中选择模板类型,目前是认证策略选择单一认证方式就自动关联相应认证方式的默认模板,如果是混合认证,就关联混合模板。
主要针对第三方用户,目的是将存在于第三方的用户加入设备,便于做策略限制等。此功能不影响本地已有用户,只会新增用户,不会修改已有用户信息。
认证策略用户录入未配置用户组时不会录入用户。
第三方录入用户,如果用户未下线,该用户无法编辑,在线用户注销后,用户可以编辑。
认证策略有效期录入用户,当认证策略里用户有效期过期后用户状态变为未启用状态,如果重新启用用户的话需要更换用户有效期为有效时间。
第三方用户认证录入支持永久录入、有效期录入、临时录入。
(1) 永久录入:指用户认证成功后录入到设备的用户不会自动删除,未删除的情况下长期有效;
(2) 有效期录入:是指用户认证成功后录入到设备的用户到达指定日期后录入用户和该条认证策略都失效,如果启用需要修改时间在有效范围内。
(3) 临时录入:是指用户认证成功后录入用户到设备指定的用户组,当用户注销下线后,录入的临时用户会自动删除。
设备R6616及以上版本的认证策略生效时间,只受认证策略配置里的“时间”对象控制;
R6616以下版本认证策略生效时间,受认证策略配置的“时间”对象和“用户有效时间”两个参数控制。
临时录入策略命令行clear user-recognition,录入用户不会删除,需要手动删除用户。
如果用户存在于本地,且不在认证策略中选择的用户组,该用户认证时,录入ip/mac信息不会移动用户到认证策略里选择的用户组。例如:本地存在有个用户名张三,在用户组织结构中在测试组,但是认证策略选择的录入组是开发组,使用张三来认证上网,则张三不会被移动到开发组。
如果用户是第三方认证,本地不存在该用户,则录入ip/mac信息时会在认证策略里选择的用户组下创建该用户。
针对自动录入的用户ip、mac有时间限制,但剩余有效期在界面是不可见的。
目前在线用户的定时器是按照上线时的到期时间进行设置的,不会跟随系统时间的变化立即更新定时器,必须等待定时器到期后再检查用户是否过期。因此手动修改系统时间导致的用户过期不会使用户立即下线。
认证策略源目地址是双向匹配,报文出去匹配一次,回来再匹配一次,两次任意命中一次即为认证策略匹配,然后弹出认证界面。
认证策略录入用户绑定IP在有效期之后老化,是在定时器内完成的,周期为1小时,存在上次轮询时间接近老化时间,使得绑定地址实际删除时间在有效期之后的情况,生效时间存在近1小时的误差。
认证策略录入用户绑定的IP、MAC不再显示在用户的绑定范围内,可以通过display dynamic-bind-user policy查看到具体绑定信息。
本地web认证、ldap认证、radius认证、微信认证均已支持用户态性能优化,其它认证方式仍然在内核态实现,认证性能没有变化。
认证策略里的超时时间优先级高于认证方式里的超时时间。认证策略里的强制重登录间隔时间优先级高于认证方式里的强制重登录间隔时间。
时间修改变大会生效,时间修改变小则不生效。因为R6616及之后版本,对于已经上线的用户,定时器不会刷新了,只有在到了超时下线或者强制重登录下线的时刻,会比较是否通知下线;时间修改变大,则到了最初设置的下线时候时,会重新计算是否满足下线,计算的时候就已目前配置变大的时间算的,所以时间改大,则会生效;而时间修改变小,则到了最初设置的下线时候时,会重新计算是否满足下线,计算的时候就已目前配置变小的时间算的,此时满足了下线时间,所以时间改小,则会生效。
是的,不支持R6616以下版本导出的认证策略csv文件的导入恢复配置。因为R6616版本认证策略新增了两个字段,所有不兼容之前版本的导出的认证策略csv文件。
PC能够重定向到认证页面,说明设备的路由及IPV4策略是没有问题的。
(1) 首先查看绑定的MAC地址是否与PC的MAC地址一致;
(2) 再查看下组网方式,若是设备通过三层交换机与内网PC相连,目前设备没有跨三层MAC地址学习功能,则无法直接获取到内网PC的MAC地址,这样即使绑定了MAC地址,任然需要通过认证才能上网。
如果认证策略上配置了超时时间、强制重登录间隔,则以认证策略上配置的为准;如果认证策略上没有配置,均以首次认证方式上配置的为准。
是的,终端注册用户审批之后将以静态绑定用户上线,所以不会进行双重认证。
不支持,因为只有本地认证支持IPv6,其他认证方式不支持IPv6,即使配置了双重认证,认证流量为IPv6时,只按照策略的首次认证类型进行单一认证。如配置本地认证+短信认证,请求IPv6业务时直接可以访问外网IPv6业务,不进行二次认证。
微信认证选择小程序认证不支持双重认证,微信小程序认证功能已停止维护,但是设备上小程序配置选项保留用于客户自己开发小程序与设备对接进行使用。
不支持,由于二次认证选择加密认证之后,微信认证公众号上跳转二次认证时SSL握手连接建立不起来,终端直接发送FIN报文断开了连接,所以首次认证选择微信认证时,二次认证不能勾选加密认证。
问题原因如下:
(1) 双重认证首次认证成功之后用户信息暂时存储在匿名用户下,如果组网环境上有大量用户上线使其在线用户达到规格时,会将在线用户列表中最老的匿名用户踢下线,导致用户进行二次认证时会出现获取首次认证用户信息失败的情况;
(2) 首次认证成功之后手动清除在线用户,也会导致二次认证时获取首次认证用户信息失败的情况。
(3) 解决方法:建议修改用户识别范围,根据实际组网环境选择通过设备上网用户的地址范围,避免出现在线用户过多,达到满规格的情况。
用户第一次接入网络时会弹portal认证页面,用户按照要求输入正确的用户名及密码后完成认证并成功上线,此时设备会将该用户的MAC加入到无感知列表,当用户下次上线时先查无感知列表,如果用户MAC在无感知列表中,设备自动完成认证,将用户无感知上线,简化了认证流程,提升了用户体验。
用户认证上线后,设备将该用户的MAC加入到无感知列表,当用户下线后,设备启动超时定时器,在超时时间范围内用户再次上网可以无感知上线,若大于超时时间,设备会将该用户MAC从无感知列表中删除,此后用户下次上线时需要重新输入账号密码进行认证。
无感知认证支持跨三层组网,但需要在设备上开启SNMP跨三层MAC学习功能,以获取用户的真实MAC。如果未开启SNMP跨三层MAC学习功能,会把报文中的三层设备的MAC加入到无感知列表,从而导致三层设备下的用户都可以无感知上线了。
本地认证、短信认证、微信认证都支持无感知。
如果本地认证的用户信息在LDAP和Radius服务器上,LDAP的用户需要同步到设备本地或认证策略里配置录入用户。由于Radius的用户不支持同步,故Radius用户认证需要认证策略里配置录入用户。
(1) 用户超时下线,并非用户自己主观行为,所以应该支持无感知,让用户没有重新认证的感觉。
(2) 用户被管理员踢下线,证明用户存在一定的异常,针对异常用户肯定不能无感知。
(3) 用户主动注销,证明下线是用户主观的行为,不想在不知情的情况下再次上线,所以也不能支持无感知。
通过如下命令检查用户上线后MAC是否被加入到无感知记录表中:
· display user-waa local-waa查看本地认证无感记录表。
· display user-waa sms-waa查看短信认证无感知记录表。
· display user-waa wechat-waa查看微信认证无感知记录表。
目前无感知上线的用户暂不支持HA同步,因此HA主设备在线用户显示无感知认证上线的用户名,而HA备机上显示的是匿名用户。
无感知配置有效期过后,状态会切换为aging状态,该配置不生效;无感知列表老化删除时间是5分钟,5分钟定时删除过期的无感知列表配置。
无感知功能是根据用户的MAC地址判断的,当MAC发生变化时,用户会下线,无感知列表会被清除。
为了保证原有功能不受影响,优先录入到imc配置推送的用户组中,功能与以前保持一致,当用户进行Portal Server认证,认证成功后,用户会被录入到设备配置的imc推送的同名用户组中,用户下线后,录入到imc推送用户组的用户会被删除。
是的,为了录入的用户能够正常配置恢复,在用户录入时需要与本地用户支持的字符一致,对于未录入的情况在用户上下线日志中是有相关的原因说明的,目前由于Portal Server快速无感知认证上线时使用mac地址做为用户名的一部分,对于里面的冒号目前暂不支持,因此无法录入。
配置了认证策略后,终端用户访问网站时,可以弹出认证Portal页面进行认证上网。设备仅支持对于HTTP网站的标准端口(80及8080端口),及HTTPS的标准端口(443端口)弹出认证页面,如果访问其他非标准端口的网站时,则无法弹出认证Portal页面。
1G内存设备存储规格为1000;
2G内存设备存储规格为5000;
4G内存设备(含小于8G设备)存储规格为1W;
8G及超8G内存设备规格为2W。
要求在逃生时所有用户均可上网、逃生结束后未认证用户均需认证。也就意味着,在逃生期间在线用户不发生变动。
要求在逃生时在线用户和mac地址在已认证用户列表里的用户可以上网,其它用户不能上网。
认证用户有保存用户数的规格限制,当存储用户数达到规格时,优先删除最久没有流量的用户。
地址探测模块负责向指定的Portal服务器或着内容平台发送探测报文。当Track状态变更时,向Portal逃生模块通知Track的状态,当trach状态为不可达,portal逃生功能开始生效(探测次数和间隔时间是根据地址探测的配置来决定)。
当同一个终端自动弹出或打开了多个认证页面时,仅最新的验证码生效。
· 在配置本地认证策略时,可以基于用户组织结构,指定该策略限定的认证用户范围,且只对设备添加的本地用户有效。
· 混合认证中的本地认证不支持此功能。
· 能选择的用户、用户组数量为64(64是指选择的对象的数目,不区分是用户和用户组)。
注意事项:
(1) 对于用户层面来说,只有选中的用户才能进行本地WEB认证上网,未选中或者排除的用户不能进行本地WEB认证上网。
如果组网中存在认证流量二次过设备的情况,需要在认证策略配置中,将源、目的地址配置为排除设备地址,否则会导致认证时无法重定向到认证页面的现象。如果选中的是用户组,那么只要用户组里面的成员没有被排除,都可以通过本地WEB认证上网。
认证方式超时时间默认是启用,15分钟,命令行查看配置时默认配置不显示。
R6616版本默认的超时时间进行了调整,所有认证方式的超时时间的默认配置为启用,时间为15分钟。
若低版本配置的超时时间是默认时间,升级到R6616版本后超时时间会变为默认的15分钟;若低版本配置的超时时间非默认值,升级到R6616版本后超时时间仍为配置的时间。
本地认证方式里配置了心跳超时,同时认证策略里也配置了超时时间,则超时方式取的是心跳超时,超时时间是取认证策略里的时间,心跳间隔算法=心跳超时/4+1秒。
认证模板设置包含本地认证、微信认证、短信认证、免认证、二维码认证的弹出portal页面的风格自定义,同时增加了轮播模板,可用于以上认证方式,即每一种认证方式都包含两套模板:默认模板以及轮播模板,轮播模板支持3张背景图片循环播放。
HA环境用户认证模板编辑修改不会同步到备机。
用户认证模板修改后点击阅览没有生效的时候,点击CTRL +F5按钮重新加载后模板显示为修改之后的模板。
认证模板预览支持认证方式切换效果的展示,但目前尚不支持此功能。
功能接口需要根据提示文档进行对应,否则修改后的功能按钮将无法执行功能。
布局内容可以根据需要自行任意修改,需要注意按钮功能接口需要对应给出的提示文档。
支持HA同步,主设备导入portal后,备设备也会同步更新,同时备设备也会阻止导入portal页面。
不需要,自定义portal的导入功能是覆盖导入,直接替换之前的文件。
(1) 查看控制策略是否允许,如果默认禁止则PC过设备无法访问网页。
(2) 查看用户识别范围是否改为any或是指定认证用户的IP地址范围。
(3) PC流量是否经过设备,访问域名的DNS解析报文是否经过设备(可以通过PC过设备访问设备内置域名,使用命令display sslproxy dns status查看,设备是否学习到了IP来判断,DNS报文是否经过设备)
(4) 是否开启https弹portal选项,弹portal消除告警功能的生效需要开启https弹portal功能。
首先需要了解认证中的加密选项,本地web认证和短信认证都有加密选项。开启加密前,访问域名不受任何影响。开启加密后,访问的http和https域名都会加密变成https地址。
所以,不开启加密选项时,访问http本身不含告警,不需要消除告警。访问https时,会存在告警页面,此时开启弹portal消除告警功能后,可以消除该告警页面。
当开启加密选项时,分为两种情况:
· 第一种:访问http域名时,因为加密原因,弹出的portal被强制变为https,此时只需要开启加密消除告警功能,即可消除该告警页面。
· 第二种:访问https域名时,弹portal还为https,但是需要开启弹portal消除告警和加密消除告警,两个功能全部开启时,可以消除该告警页面。
当改变引用的证书或关闭消除告警功能时,对于已经在该证书并开启消除告警功能时登录的用户,会最终心跳超时,下线。对于流量超时上线的用户没有影响。
终端上下线日志是存在数据库中的,用户名切换后只有新产生的终端上下线日志才会更新用户名,在线用户处用户名会改变,因为是从内存中保存的用户信息获取的。
部分安卓手机扫码后接wifi后不会发送http流量,与个别手机自己连wifi机制有关,设备是对终端的http流量进行重定向,如果终端手机没有http流量所以无法自动弹portal。此时需要手动打开浏览器触发弹portal完成接下来的认证流程,实现上网。
(1) 用户名配置为IP地址时,查看公众平台关键字回复或自定义菜单中设置的URL是否和微信认证中的认证URL配置一致;认证URL配置域名时,查看是否配置域名管理并把认证URL的域名解析为设备地址。
(2) 用户名配置为OpenID或手机号时,查看微信公众平台是否通过自定义菜单关联小程序;查看设备是否配置域名管理把小程序中设置的域名解析为设备地址。
(3) 查看微信认证配置中其他参数是否正确。
(4) 弹出认证页面后点击“打开微信”后,流量默认放通1分钟,查看剩余的认证流程是否在1分钟之内完成,若超过1分钟,设备再次阻断所有流量,需要重新弹出微信认证页面进行微信认证操作。
不支持PC端微信认证。
弹出微信认证页面后点击“打开微信”后,流量默认会放通1分钟,在这1分钟之内,对用户的流量不会进行阻断,所以用户在这1分钟内没有完成认证也可以发送消息。
不支持强制关注。
微信软件版本7.0.9-7.0.13支持浏览器从认证页面唤醒微信;微信软件版本7.0.14及以上版本点击认证页面的打开微信后如果没有唤醒微信,需要手动打开微信完成接下来的认证流程,实现上网。
1、微信认证默认使用的设备http端口是80;支持修改设备http端口,将设备的http端口修改为其他端口时,需要将微信公众号平台及设备的微信认证中的认证URL的端口修改为与设备的http端口一致。
当http端口配置为非80端口时,如果微信提示地址使用了非标准端口,选择继续访问即可。
2、如果多台设备使用同一个微信公众号,则同一个设备的微信认证URL必须和微信公众平台的配置保持一致,并且配置中的http端口必须和该设备的http端口保持一致。
微信认证配置OpenID方式,使用小程序上线,在线用户显示OpenID,在设备上把微信用户注销掉,期间不断开WIFI,手机再次登录后在线用户获取的是IP地址。
该问题为操作步骤问题,微信认证没有流量放通过程,终端无法和服务器通信得不到相关参数,所以获取的是IP地址。
无法认证成功,短信认证与浏览器是绑定的。
不包含短信认证的配置,由于短信认证没有命令行,所以导出的设备配置不包含短信认证配置。
不同步。
问题原因:
先配置错误的DNS再配置正确的DNS,认证时依旧会使用错误的DNS导致无法认证。
规避方式:
(1) 修改dns服务器配置。
(2) 修改管理设定中的web端口使正确的DNS生效,DNS生效后可以再把端口修改回去。
HTTP协议的短信服务器由于参数配置错误,设备无法正确解析报文内容,导致报文无法正确发送出去,有效性检测无法返回提示信息。
需要检查报文内容和设备状态,以确保测试的有效性。
免认证方式是一种支持用户自定义认证portal进行广告宣传,同时不需要输入账号即可实现快速上线的认证方式,可提升用户体验。用户访问网页时被重定向到已定义好的portal页面,点击登录按钮即可完成认证流程。
目前不支持多域及子域的情况,在线用户信息未带域名信息。
单点登录启动脚本,存在被安全类软件提醒的风险。需手动添加至白名单即可。
用户上报信息已加密,包含用户名、密码。
登录数据此版本不支持防回放。
单点登录不支持HA主主模式;只支持HA主备模式,HA主备模式下单点登录配置支持HA同步,在线用户也支持HA同步。
在线用户只识别第一次登录的账号,避免频繁出现账号切换,目前设备是基于IP来识别用户的,无法实现两个IP一样账号不一样的用户同时在线。
单点登录程序手动安装时不支持指定路径安装,指定路径后程序仍安装在默认路径下。
单点登录,AD服务器上配置了心跳超时时间,认证策略里也配置了超时时间,命令行里也配置了超时时间,则超时时间是认证策略优先级高于命令行配置的超时时间,然后和心跳超时时间比较,是哪个先达到超时下线的条件就哪个生效。
· AD-log录入的用户超时时间默认为24小时,超时时间内,不管是否使用域账号登录,用户对应的IP只要有流量触发,匹配AD域单点登录策略,就会单点登录上线。可以通过 dynamic-bind-user ad-log timeout设置AD域用户超时时间,或no dynamic-bind-user ad-log NAME删除AD域录入用户。
· 禁用或删除单条AD域单点登录配置时,不能区分用户是哪条AD域单点登录配置录入的,不会清除之前录入的用户;只有禁用或删除所有AD域单点登录配置,才会清除AD域录入的用户。
· AD域单点登录录入IP+用户名之前,先检查相同的IP是否已经上线,如果上线则踢出之前的用户名,然后以新的用户名+IP上线;同一用户名对应不同IP时,都可以上线。
· AD域单点登录不支持域用户从域中注销,单点登录认证上线的用户同时从设备端下线,可以通过无流量超时注销或强制登出注销用户。
· 配置单点登录认证策略后,如果AD域在设备外网方向,PC通过设备无法正常加入到域,需要将AD域服务器IP地址配置为认证策略排除地址,未认证放行,确保PC和AD域能正常通信。
· 域账号最后一个字符为'$'时,会判定为PC计算机名,不是域账号时设备端不会录入用户名,会导致该域账号不能录入到设备。
设备启动时会初始化绑定AD-log的定时器,每隔1个小时,该定时器会去执行清除AD-log绑定超时的用户,如果当前用户超时时间小于等于当前时间(定时器执行清除的时间),则删除该用户。例如17:30设备启动,AD-log录入用户超时时间设置为1小时(dynamic-bind-user ad-log timeout 1),17:35录入该IP,该IP超时时间为18:35,18:30定时器执行清除时,该IP超时时间大于等于当前时间,该IP不会被删除。19:30定时器执行清除时,该IP超时时间小于等于当前时间,故IP被删除。
AD-log用户保存在内存中,重启后,执行display dynamic-bind-user ad-log命令查看AD-log录入的域用户丢失,设备重启后会重新去AD域上读取用户信息。
AD域单点登录域名解析最多可以解析20个IP,超过的部分不解析。
访客二维码认证主要针对下列两种场景:
1. 对于企业访客,联网时,终端弹出认证二维码,由公司内部审核人员(比如前台),扫描二维码,备注访客信息,然后实现访客上网;
2. 对于酒店客户,手机可以通过微信认证上网,而笔记本无法进行微信认证,可以选择二维码认证,客户通过已经认证的手机,扫描笔记本二维码完成认证,最终实现笔记本上网。这种方式下,不需要弹出审核页面,直接以审核人身份上网。
在二维码访客认证页面中的审核员为在线认证用户,any代表所有在线的认证用户,匿名用户或非在线认证用户不行。
来源网址的调整通过定时器自动触发,由于部分手机浏览器安全检测,会被浏览器识别成用户弹出广告范畴,因此无法重定向成功。
在设备上注销访客二维码认证的用户会删除用户信息,终端再次注销时候获取不到用户名称,只提示IP地址信息。
手机端进行钉钉认证时,只能使用钉钉进行二维码扫描,不支持用户名密码登录。
钉钉认证功能支持自动获取用户组织结构,因此需要在钉钉后台开启通讯录可读权限。
支持PC端钉钉认证。
在页面点击钉钉认证注销后,页面不能自动完成刷新。需要手动触发认证策略,重新进行钉钉认证。
在老版本的钉钉开放平台中,有两种申请钉钉认证的方式:
第一种方式:通过钉钉应用方式申请
第二种方式:通过钉钉应用方式+扫码登录应用授权方式申请的。
设备上配置钉钉认证的功能已支持新版本的钉钉平台,取消了自动获取所属组的APPKEY和APPSecret的功能。因此,使用老版本钉钉开放平台的第二种方式进行钉钉认证时,会认证失败。
目前钉钉开放平台已出新版本,建议在配置钉钉认证时,参考钉钉认证页面上最新的配置指导进行配置。
回调地址是用户在企业微信开发者平台注册时配置的,用户在设备界面配置的回调地址必须要跟企业微信开发者后台配置的回调域名地址保持一致,企业微信认证最终需要从企业微信服务器读取用户信息,这是由终端调用回调地址触发、然后设备负责处理认证的lighttpd(端口8000)完成的,所以要求回调地址端口固定为8000。用户在企业微信开发者平台配置回调地址时,需注意将端口固定配置为8000。
POP3认证时,POP3服务器的地址时不支持配置为域名地址。
(1) APP下载链接为https时,放通APP服务器的流量只能通过配置IP实现,不能配置域名,报文交互中域名被加密了提取不到对应的域名
(2) APP认证不支持加密应用中的用户名提取
(3) APP账号监控不支持结果检验,账号登录失败或账号不存在的情况下,也能监控到用户输入的账号正常上线。
(1) IC卡认证用户不支持非经功能。
(2) 由于PC的后台流量概率会触发流量劫持(portal认证),会造成测试PC不需要手动触发认证的情况下,直接刷卡认证,就可以上线成功。
(3) IC卡认证不支持NAT后场景。
(4) IC卡认证如果设备上注销用户,用户必须重新进行IC卡刷卡才能进行认证。
(5) IC卡卡机只支持win10系统。
该规格是根据设备的用户规格而改变的,是用户规格的三分之一,比如用户规格为1024,那么IC卡卡号信息规格为341。
安装程序的导入必须是名称为“ic_card.exe”的文件。
目前IC卡卡号信息仅支持导入、导出和查询操作,如果要对IC卡卡号信息修改,可以通过导出按钮将导出配置信息,然后进行修改再进行导入即可,目前IC卡信息的导入支持的全部替换方式,在导入时会删除原所有有配置信息,重新下发新的导入配置文件的配置信息,且导入只导入前两列的信息,其他地方配置不会进行检查也不会导入。
是的,IC卡认证上线属于刷卡同步上线。认证策略的作用只是针对命中策略的流量起到流量劫持和弹Portal推送信息和软件的作用,不影响同步上线,不会检查IP。
如果以前用老的卡机软件IC卡认证成功,且开启了本地检查,导入的卡片信息是十六进制的IC卡卡号,现在换成新的卡机软件后IC卡认证会失败,因为现在新的卡机软件读取的IC卡卡号是十进制处理方式,会导致与之前导入的十六进制的IC卡卡号不一致,导致IC卡认证失败,需要重新导入十进制的IC卡卡号信息或者不开启本地检查功能才可以认证成功。
安装新卡机软件包后,同一时间只能支持一种卡机,切换卡机需要修改卡机配置文件或者卸载后重新安装选择对应的卡机型号。
不支持,只支持配置CAS服务器。
首先要保障设备到CAS服务器的网络可达;其次CAS服务器只支持配置标准端口(8080/80/443),因为进行CAS认证时会放通1分钟标准端口的HTTP/HTTPS的流量,对非标端口请求的流量不放通。
不会,设备无法即时感知用户帐号权限变化并做相关处理。
用户名长度支持1-127字符,超过127字符不能在设备上注册上线;
支持字符包括中文数字字母以及字符(不包含空格'"`/\),用户名包含不支持的特殊字符进行认证时可以认证成功,不支持的特殊字符用_代替。
HA主主环境需要在CAS服务器上配置两个回调地址,分别为主控设备接口地址和备控设备接口地址PortalURL。
主机上清除无感知列表,备机不会同步清除,备机可以执行clear user-waa user-cas进行清除。
· CAS认证回调地址:http:// ${ ipaddr }:8000/portal/cas/index.html;
· 混合认证-CAS认证回调地址:http:// ${ ipaddr }:8000/portal/adv/cas_index.html;
· ipaddr 根据设备具体接口来配置。
可以,系统会对CAS服务器名称进行校验,但是数据库服务器名称其他服务器名称不进行校验,因此,当CAS服务器名称与数据库服务器名称相同时,可以创建成功。
不支持,只支持配置OAUTH服务器。
不会,设备无法即时感知用户帐号权限变化并做相关处理。
用户名长度支持1-127字符,超过127字符不能在设备上注册上线;
支持字符包括中文数字字母以及字符(不包含空格'"`/\),用户名包含不支持的特殊字符进行认证时可以认证成功,不支持的特殊字符用_代替。
主机上清除无感知列表,备机不会同步清除,备机可以执行clear user-waa user-cas进行清除。
可以,系统会对OAUTH服务器名称进行校验,但是数据库服务器名称其他服务器名称不进行校验,因此,当OAUTH服务器名称与数据库服务器名称相同时,可以创建成功。
可能会存在这种情况,依据OAUTH服务器注销机制的不同表现的不同,因为用户手动注销后,设备没有向OAUTH服务器发起注销请求,OAUTH服务器没有感知用户已注销,如果此时用户在OAUTH服务器上还是在线的状态,则用户手动注销,访问网页不需要输用户名和密码,直接提示认证成功,上线成功。
这是由于Keycloak软件的限制,建议将Keycloak服务器开启HTTPS服务,同时设备上OAUTH服务器的配置项重定向URL、accessToken获取地址、获取用户信息请求地址均配置成HTTPS的请求。
IPv6本地认证是通过地址对象范围控制,数据只要匹配策略地址范围就会命中认证策略,无需页面额外配置。
无感知功能不支持IPv6,其他高级功能都支持。
支持IPv4的第三方服务器进行本地认证。
对于IPv6数据匹配其他类型认证策略,如果检测到非本地认证方式,默认不进行认证。
混合认证就是在用户认证时提供多种认证方式供用户选择,用户可根据需要灵活切换认证方式,混合认证支持微信认证、短信认证、本地认证、免认证、访客二维码认证其中一种或多种认证方式组合。
在混合认证里既可以选择单一的认证方式,同时也选择多种的认证方式。
不一样,混合认证的模板是轮播模板,支持广告轮播。然而其它认证模板是默认模板。
根据混合认证的总认证方式进行比特位排列,如有11种认证方式那么比特位长度就是11位,其中每一个比特位都代表一种认证方式。
从高位到低位依次是:企业微信、CAS、IC卡、POP3、钉钉、APP、访客二维码、微信、短信、本地web、免认证。
比特位每一位只有0和1的情况,1代表该位被选中,0代表该位不被选中。
· 企业微信认证:10000000000->1024
· CAS认证:01000000000->512
· IC卡认证:00100000000->256
· POP3认证:00010000000->128
· 钉钉认证:00001000000->64
· APP认证:00000100000->32
· 访客二维码认证:00000010000->16
· 微信认证:00000001000->8
· 短信认证:00000000100->4
· 本地web认证:00000000010->2
· 免认证认证:00000000001->1
填写值根据认证方式对应的十进制数相加所得。
如果填写的值换算成2进制后超过了11位,从低位开始保留前11位剩余高位进行丢弃。
可以导入成功,但是页面首选项显示不是本地认证,是按照local/wechat/sms/qrcode/app/dingtalk/pop3/iccd/cas/wxwork/free顺序检查配置的认证方式,配置首选项。
是的,原因是由于两个认证的实现机制缺陷,需要由第三方服务器推回到设备的接口,而该参数会由配置信息决定,当配置比较多长度比较长,GET的有长度限制。所以不携带该参数。
自注册申请时,认证策略引用的自注册对象已超时,则自动审批为拒绝,审批原因为已超过审批时间,可以在用户自注册日志中看到相关的申请及审批日志记录;
自注册申请时自注册对象还在有效期,审批时申请已过期,则审批为拒绝,审批原因为已超过审批时间,可以在用户自注册日志中看到相关的申请及审批日志记录;
审批自注册申请时,如果认证策略引用自注册对象已经被删除,则审批为拒绝,审批原因为已超过审批时间。
自注册列表不支持配置文件恢复。即导出配置文件不包含审批列表,保存配置重启审批列表还在,如果把配置文件导出后导入到其他设备,则不包含审批列表。
审批自注册用户时是否会发送邮件通知取决于审批时引用的自注册对象是否勾选了邮件通知。
目前只支持最多50个注册信息批量编辑。
审批列表规格根据不同设备有不同数量,是用户组织结构中用户规格的三分之一,取整数部分,比如:设备本地用户规格为2048,那么审批列表规格为2048/3=682.6666666,取整数部分,则为682。
识别模式分为“启发模式”和“强制模式”两种,默认配置为强制模式,识别范围默认配置均为private私网地址段。
“启发模式”指的是,优先将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。
“启发模式”使用场景:对用户识别要求不严格的情况下使用启发模式,在线用户中会出现非识别范围内的用户(如:同时出现私网IP和公网IP的用户),所以统计到的在线用户数量会比较多,在此模式下需要将识别范围修改成内网实际使用的地址网段,否则会导致用户识别不精确。
“强制模式”指的是,只将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,只有源IP或目的IP地址中的一个属于识别范围时,才会被识别为在线用户;否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制,如:用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。
“强制模式”使用场景:对用户识别要求严格的情况下使用强制模式,在线用户中只会存在识别范围内的用户,过滤掉了不属于内网地址段的用户,精简了在线用户列表,只显示用户真正关心的数据,同时提升了设备性能,不在识别范围内的IP流量不走用户认证流程,避免了对用户不关心数据的处理,在此模式下务必将识别范围修改成内网实际使用的地址网段,避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。
控制策略的处理不依赖用户识别,用户ip不在范围内需要匹配到控制策略,避免控制策略动作默认为拒绝时,未识别到用户的流量匹配到默认动作,阻断流量。
审计策略的处理需要识别到用户,若设备上配置的用户范围不能被识别,则不能匹配到审计策略。
https弹portal是指终端访问https的网站认证上网,https网站能弹出认证页面portal。
由于https是加密的,访问https页面就需要ssl证书,所以手机访问部分https网页的时候,会弹出一个警告信息,部分https网站提示完可以继续访问,但是也有部分网站直接禁止继续访问该页面。这时候可以换一个浏览器或者换一个https网页重新访问。
因为微信认证中,由于用户与微信服务器的交互都是https加密的,对于PC端而言,打开https网页弹出portal以后,流量会自动放通一分钟,以便用户能与微信服务器通信完成交互生成二维码信息,对于移动终端而言,弹portal后点击“一键唤醒微信连wifi”的按钮后流量会自动放通一分钟以便正常唤醒微信,完成接下来的认证流程。
由于不同的浏览器对一些流行的购物网站(如京东、淘宝)或门户网站(百度)证书安全级别有强制保护检查,浏览器检测到https弹portal的行为证书不合法,则不会继续访问portal页面,导致无法弹portal,此外对于银行https网站都无法实现弹portal。
IE11浏览器有合法证书强制检查,不信任的证书网站不允许用户继续浏览,进行强制保护,导致设备无法对https网站弹portal。
通过门户网站间接访问的其它网站,由于有些网站本身点击跳转时不是访问的目的网站的真实网址,而是还会通过门户网站提供的一个特殊的地址访问后再重定向到最终想要访问的网站的真实地址。对于这种https加密的方式进行访问的网址不支持https弹portal认证。
配置本地web认证或者其它认证方式,保证认证地址能进行正确认证,就能在访问https类型网站时弹出portal。
这个现象是由于浏览器针对不安全页面进行的一个安全提示,属于浏览器的一个易用性功能,因为显示等待一段时间,目的就是提示用户,这个是不安全的。用户不选的话,等待一会浏览器还会自动前往。这个属于浏览器的易用性考虑。
是由于浏览器本身的拦截造成的,由于浏览器本身的拦截,请求并没有发起,而是直接被浏览器处理掉了。
https弹Portal功能非常耗性能,在用户量较大时会导致Portal页面弹不出来,影响用户认证,所以默认情况下不使能,并且不建议在大流量场景下开启此功能,使能命令user-policy https-portal enable。
https网站是加密的,无法实现自动跳转或跳转到指定的重定向URL,包括由于访问https网站被策略阻断后也无法推送阻断提醒页面。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看设备路由是否正确;
(3) 查看用户策略的目的IP是否将服务器的IP地址排除在外。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看设备路由是否正确;
(3) 查看用户策略是否正确,PC上网时是否匹配到此用户策略。
(4) 查看网络拓扑,抓包判断是否存在认证流量二次过设备的情况,此时需要在认证策略中将源目地址排除掉设备地址。
根据debug aaa event或系统日志信息查看,认证失败原因:
(1) 服务器无响应:查看路由及IPV4策略是否错误;服务器端口是否匹配;
(2) 服务器密码错误(指Radius);
(3) 用户名或密码错误:查看所输入的用户名是否与第三方服务器上的用户名一致;确定密码是否正确,与服务器上对应用户名的密码一致。特别需要指出的是对于Radius第三方用户存储认证,所使用的服务器为IMC服务器中的Radius部分,所以输入的用户名还要包括服务类型标识部分,账号与服务类型之间用@连接,如htest@kkk,其中htest表示账号名称,kkk为服务类型标识,这两者用@连接后整体作为认证用户的用户名。
不一定。由于RADIUS服务器编码方式有多种类型,设备只支持UTF-8,如果RADIUS服务器编码不是UTF-8,则会造成用户名包含中文字符的用户无法认证。
由于在开启更新网关后,会在设备中增加一条默认路由出接口是ppp口,这样很容易就会有ip流量通过ppp接口发送出去,第三方pppoe监听用户上线需要收到协议0x8864(pppoe协议)并且是0x0021(ipv4协议)的报文,获取到ip地址,然后根据session id和源mac进行查找其关联的用户名进行上线,如果在不配置更新网关的情况下,可通过ping对端ppp接口地址手动触发(可通过display ip route查看到ppp接口对端ip地址),此时报文走ppp接口发包,也会触发pppoe第三方用户上线。因此该现象与配置更新网关和更新dns并无直接关联,只要ipv4流量走ppp接口发包,pppoe第三方用户就能获取到ip信息上线。
WEB用户同步录入用户与本地用户同名时,第三方用户同步的WEB用户同步上线后,由于户管理模块未区分是录入的用户还是本地创建的用户,该同名用户就会变成已经被引用的用户,此时本地用户中的该同名用户不可编辑和删除;只有把第三方WEB同步用户注销后,本地用户中的同名用户才能进行编辑和删除。
(1) 用户名支持127个字符,超出部分会截取前127个字符;
(2) IP地址目前只支持IPv4,不支持IPv6;
(3) 支持http get报文;。
(4) 提取特征中的标记字符与被提取的用户信息数据字符有重复时会导致被提取信息截断。
例如:用户名为test&123,特征标记为&,提取后的用户名为test。
(5) 端口配置不可配置为已使用的端口,例如80、443端口。支持1024-65534之间未使用的端口。
Web用户同步不支持HA主主同步;HA主备模式下,Web用户同步配置支持同步,在线用户不支持同步。
城市热点服务器用户同步到设备,需要在设备端“用户管理>认证管理>高级选项>第三方用户同步>其他用户同步”中开启城市热点监听功能,城市热点服务器同步用户上下线报文到设备端的61441端口。
数据库用户上线后默认关联到”数据库同步用户”组中,且不支持修改,认证方式为数据库认证。
数据库用户同步页面的SQL语句配置目前没有做限制,但是仅支持用户名和IP地址两个字段查询返回的数据解析。
数据库用户同步过来的用户上线必须要有对应IP的流量过设备触发,在线用户上才会显示,否则不会显示。
数据用户同步上线的用户老化时间为1个周期的同步间隔,当数据库服务器中的某个用户不存在后,经过下一次数据库用户同步如果都没有该用户,则会被老化踢下线。
不会立即下线。如果该用户一直有流量经过设备,则不会下线,一直是数据库认证上线;只有在下一个同步周期后,用户下线后再次上线才不能通过数据库认证上线。
数据库用户同步会根据配置的IP地址范围来过滤,只会同步在IP范围内用户信息。
当数据库中IP对应的用户名变更后,在线用户对应的用户名会在下个同步周期完成后且重新上线才进行更新。
不支持。
不支持用户组同步,也不支持将同步的数据库用户指定到其他用户组。
数据库用户同步目前仅支持Postgres数据库,Postgres数据库的主流版本9、10、11、12、13均可支持,特殊说明如下:
· 数据库12.5以下的版本,数据库对接校验的身份认证加密算法支持md5/password ,其他新版本只支持password,因此如果数据库身份校验不通过需要关闭系统防火墙,同时注意修改算法,方法如下:
· 编辑pg_hba.conf文件,添加如下红框中的内容,同时将method修改为md5或password
pg_hba.conf文件不同的操作系统路径不一样,举例说明如下:
· windows系统:C:\Program Files\PostgreSQL\13\data\pg_hba.conf
· linux系统:etc/postgresql/12/main/pg_hba.conf 需要注意,不同的数据库版本号路径会有区别。
在线用户的用户名不支持显示特殊字符,如果用户名中包含特殊字符,同步上线后在线列表中不会显示。
重定向URL要在客户端和设备之间,如果是设备上层则无法访问。
数据库同步测试有效性返回结果的长度最长支持384个字符, 数据库同步测试有效性返回的结果包括路径,若返回的数据超过支持的最大长度则无法显示完全。
数据库同步时,如果同步的用户名或者用户组含有不支持的特殊字符(空格'"`/\),同步后用下划线_替换。
· 超过8级的用户组织结构无法同步录入。
· 一次最多只支持同步6W个用户。
· 数据库服务器不支持服务器组。
· 数据库用户同步不支持IPv6。
· 数据库用户名支持的最大长度为127个字符,如果超过最大长度,用户无法上线。
当数据库存在相同的用户名时,数据库用户同步后只录入最先录入的用户名。
查看设备中是否有策略将流量拒绝或进入“网络配置>路由>路由表”查看是否存在IMC服务器地址路由条目。
进入WEB页面“用户管理>认证设置>Portal Server”中查看“认证URL”是否正确。配置URL时,根据“例如”信息,将Server ip地址更改为服务器的IP地址。
在NAT环境中,用户访问服务器时MAC地址会发生更改。导致服务器接收的MAC地址与接入用户的MAC不符,产生循环认证的问题。命令行中使用user-portal-server mac-sensitive enable可解决。
(1) 首先在接收的认证页面中输入正确的用户名密码“上线”后,错误信息“向设备发送请求失败。可以检查设备中RADIUS服务器端口号是否与IMC服务器端端口号相同;
(2) 查看输入的用户名、密码与IMC服务器中配置的接入用户信息不一致。可查看IMC服务器中接入的用户名、密码是否与输入的相符;
(3) 查看IMC服务器内的“用户>接入策略管理>Portal服务管理>IP地址组配置”查看认证用户的IP地址范围是否在IP地址组范围内。
设备内将RADIUS组调用在Portal Server中,该组内有多个RADIUS服务器存在,配置与IMC服务器相同的RADIUS服务器不是该RADIUS组中第一个RADIUS服务器。所以需要进行多次RADIUS服务器匹配,当匹配到与IMC服务器相同RADIUS服务器时即可认证成功。
用户的PC上原认证页面未关闭,将原认证页面关闭或在认证页面填写已认证用户名、密码、服务后,点击下线后,可正常重新认证认证。
在浏览器调用调色板时需要浏览器支持color类型。只有支持color类型的浏览器才可看到颜色按钮,如不支持的浏览器则会出现此问题现象。
这个问题并非设备选用调色板插件问题,主要在于浏览器的支持color情况。目前已知的浏览器限制有IE和Safari两款浏览器,因与浏览器相关,设备不可控,故将此问题定位为软件限制,在发布说明书中体现。
(1) 配置超时时间分为两项,一项是IMC服务器上配置的用户在线时长,另一项是设备的Portal Server页面配置的超时时间,当IMC服务器和设备同时配置超时时间,这样会在两者内选择一个最小值最为最终的超时时间。当用户在线时长触及了最小超时时间,用户立即下线;
(2) 当IMC服务器未配置用户在线时长,仅在设备的Portal Server内配置超时时间,在这样的情况下,用户的超时会以在超时时间范围内是否有流量来衡量用户是否超时下线。当在超时时间范围无流量产生,则该用户被下线。有流量产生,则按流量停止时间开始计算,闲置时间超出配置的超时时间,用户被强制下线。
跨三层环境下设备上记录的用户MAC都是下联三层设备的接口MAC,而不是用户的真实MAC,不同IP每次上线使用的是同一mac地址,IMC会误认为是同一用户重复上线,导致把用户的超时时间置为0,设备收到超时时间为0的报文后会将用户直接踢下线,在跨三层环境中的Portal认证需要开启SNMP同步(跨三层MAC地址学习)来解决。
对于已经在线的用户,需要进行重新下线再上线才可以同步到。因为设备的用户策略主要针对用户的IP地址,如果相同IP地址的用户已在线,不会再次进行认证。
问题原因:
插件推送功能开启后,针对HTTP GET报文,劫持并重定向到插件下载页面。对于其他报文,取决于是否勾选“未安装插件允许上网”,如果已勾选,直接放通,否则,直接丢包。
Portal认证,终端向Portal服务器请求认证页面的报文是HTTP GET报文,所以会被插件推送策略重定向到插件下载页面。
规避措施:
先走终端插件认证流程,插件认证过后,Portal认证页面可以正常弹出。
(1) 用户标签是根据网站日志分类进行上报标签,设备需要开启审计策略,需要审计网站类日志
(2) 用户标签上报前必须配置imc服务器的ip地址、认证用户名、密码,否则服务器连接认证失败无法上报用户标签。
只支持配置一个上报服务器,如果重复配置的话会把之前的imc覆盖。
预定义只有56个,不支持手动创建自定义url分类,其它的id号作为预留url分类使用。默认所有URL分类均参与标签上报通过命令url-category (1-1025)user-label enable /disable限制哪些标签上报。
用户存储的最大规格为50x1024,到达规格后老化不活跃用户。
(1) 推荐使用于二层场景。
(2) 用户标签上报跨三层后,设备统计的标签信息ip还是终端的ip,mac是下联设备的mac(终端接入的是三层switch的情况下,可以配置snmp跨三层学习,设备就可以学习到终端mac(时间需要30S))。
每个用户只上报top3的用户标签,如果用户标签不足三个,使用USER_LABEL_NONE(0)填充。
用户标签信息本地配置文件存储周期为15分钟。
用户标签信息上报imc服务器周期为24小时。
(1) 没有配置imc服务器。
(2) 用户标签文件创建失败。
(3) 用户标签前台调用的脚本失败。
(1) 查看是不是对应的上报被关闭了。
(2) 查看保存文件是否是更新了最新的。
(3) 查看上报文件中的标签是否和保存的一致同时也是更新了最新的。
(4) debug app audit log 查看是否产生日志。
(5) 设备开启了审计策略但是没配置imc标签上报服务器,默认24小时上报一次。
User-lable enable
User-lable disable
|
分类ID |
中文名称 |
英文名称 |
|
1 |
广告 |
ad |
|
2 |
成人 |
adult |
|
3 |
傀儡主机 |
botnet |
|
4 |
艺术 |
art |
|
5 |
在线音乐 |
music |
|
6 |
机动车 |
automobile |
|
7 |
BBS站点 |
BBS |
|
8 |
键盘记录网站 |
keyboard-recorder |
|
9 |
博彩 |
lottery |
|
10 |
商业 |
business |
|
11 |
计算机与互联网 |
network |
|
12 |
犯罪 |
crime |
|
13 |
钓鱼网站 |
fishing |
|
14 |
毒品 |
drug |
|
15 |
教育 |
education |
|
16 |
娱乐 |
entertainment |
|
17 |
在线股票交易 |
transaction |
|
18 |
证券公司 |
securities |
|
19 |
赌博 |
gambling |
|
20 |
游戏 |
game |
|
21 |
木马病毒 |
trojan |
|
22 |
网络资源 |
network-resources |
|
23 |
医疗健康 |
health |
|
24 |
违反法律 |
illegal |
|
25 |
违反道德 |
immoral |
|
26 |
求职招聘 |
recruitment |
|
27 |
儿童 |
child |
|
28 |
法律 |
law |
|
29 |
社会生活 |
society |
|
31 |
网上交易 |
trade |
|
32 |
新闻媒体 |
news |
|
33 |
文学 |
literature |
|
34 |
在线聊天 |
chat |
|
35 |
财经 |
economics |
|
36 |
非盈利组织 |
charity |
|
37 |
政治 |
political |
|
38 |
色情 |
porn |
|
39 |
门户网站与搜索引擎 |
portal-searcher |
|
40 |
远程代理 |
proxy |
|
41 |
房地产 |
estate |
|
42 |
参考 |
reference |
|
43 |
宗教与信仰 |
religion |
|
44 |
科学 |
science |
|
45 |
期货 |
futures |
|
46 |
银行 |
bank |
|
47 |
体育 |
sports |
|
48 |
股票 |
stock |
|
49 |
基金 |
fund |
|
50 |
外汇 |
exchange |
|
51 |
旅游 |
travel |
|
52 |
暴力 |
violence |
|
53 |
病毒 |
virus |
|
54 |
WEB通信 |
web-im |
|
55 |
交通住宿预定 |
hotal |
|
56 |
白名单 |
whitelist |
客户端审计-设备端FAQ(R6616及以上版本)
是的,R6616P03及以上版本的USB管控白名单可配置最多128条,单条长度最大255字符。R6616P03以下版本单条长度为2047字符,升级后超过的字符配置会丢失。
因为R6616P03以下版本XDR模块的日志数据库表列字段名称有定义重复,新版本修改表列字段名称重复问题,掉电重启会重新初始化表,列名就会按照正常的版本定义加载,然后识别数据表的时候发现数据的列名称不一致,就会触发删表,导致之前日志丢失。
如果需要旧数据请提前导出;建议升级新版本后,将之前客户端日志清掉重新生成,以免后续设备掉电导致更多的日志被清掉。
客户端审计为精准匹配,只能匹配.xxx的文件类型。
用户满规格后,会循环的清除匿名用户,目前未识别用户默认的策略是放通,用户没有被识别,所以可以正常上网。
(1) 检查插件是否正常运行,查看任务管理器是否有xdr进程,xdr服务是否正在运行。
(2) 检查PC端的updatexdr.net域名解析地址是否为设备端地址。
(3) PC与设备端网络状态是否正常,是否可以正常通信。
(4) 设备用户识别范围是否包含PC地址,PC地址是否被识别为在线用户。
(5) 检查设备用户态协议栈是否开启。
插件是否审计日志,依赖于策略配置,策略配置什么时候下发,依赖于插件请求策略,请检查是否是策略的保活周期设置过长时间导致的。
极端情况下,终端配置了IPv6地址,且网络不通时,Windows下IPv6获取mac地址异常,第一次心跳未上报mac地址,导致获取的mac地址为空。
日志是先于文件传输到设备,文件有缓存,文件上传是需要做分片的,可能日志产生了,但是文件还没传完,这时可能会出现刚开始点击下载,存在文件不存在的情况,等文件传完后,就能正常下载了。
插件与设备保活超时3次,才会在设备端在线终端下线。
进入“数据中心>日志中心>客户端日志>聊天日志”,选择“对话模式”,缩放浏览器页面时,未显示对端昵称和聊天内容。因为浏览器缩放影响到页面布局,设备端代码框架未支持。
命令行不支持法律风险提示。该功能可能会涉及用户的个人隐私数据,请谨慎操作。
浏览器在执行文件下载时对文件命名实施了字符过滤的策略。这可能导致一些字符无法正确地包含在下载的文件名中。因此,用户在文件下载完成后可能遇到文件命名与实际不符的情况;这是浏览器下载过程中的一个通用现象,可能在不同的服务器环境中都会出现。
客户端审计-插件端FAQ(XdrSetup-1.3.187.x及以上版本)
客户端审计支持的操作系统为win7、win8、win8.1、win10和win11。
· 不支持IE、Edge浏览器的审计
浏览器审计支持的浏览器及推荐版本如下表。
|
浏览器 |
推荐版本 |
|
|
谷歌 64位 |
123.0.6312.59 |
104.0.5112.81-123.0.6312.59 |
|
火狐 64位 |
124.0.2 |
106.0.2-124.0.2 |
|
Microsoft Edge 64位 |
123.0.2420.53 |
106.0.1370.52-123.0.2420.53 |
|
IE11 64位 |
11.0.9600.20671 |
9.11.19041.0-11.0.9600.20671 |
|
360安全 64位 |
15.1.1492.64 |
13.1.6230.0-15.1.1492.64 |
|
360极速浏览器 32位 |
13.5.2044.0 |
13.5.2036.0-13.5.2044.0 |
|
搜狗浏览器 64位 |
12.3.6061.400 |
11.0.1.34700-12.3.6061.400 |
插件浏览器审计驱动是使用SHA1算法签名证书,部分操作系统不支持颁发SHA1算法代码签名证书,所以导致浏览器审计功能不能生效。
解决办法:下载安装微软官方提供的补丁,并重启计算机,重新安装插件。
低版本火狐浏览器没有导入操作系统的证书,所以会有弹窗。在弹窗页面点击确定,导入操作系统证书后,后续再导入XDR携带的证书时不会出现弹窗。
解决办法:低版本浏览器点击接受风险,导入操作系统证书,或重新启动火狐浏览器。
插件不支持审计使用TLS1.0和TLS1.1协议交互的网站行为,IE默认配置TLS1.0,若要被审计,需要勾选TLS1.2。
升级到高版本时,执行的是高版本的卸载和安装脚本,安装包脚本卸载时进行文件替换,会判断文件的生成日期,只覆盖旧文件;1.3.182.x升级之前发布的2.0.x版本会导致自动升级失败。
按钮和标题显示的语言,是根据当前系统设置的时区,自动显示;将电脑显示语言修改为英文,弹窗提示可以显示为英文。
· 不支持HTTP网站的审计,只支持部分HTTPS网站审计。
· 部分网站目前只能审计‘&’之前的内容。
· 部分网站无法获取登录手机号或者登录名称。
· 头条二维码扫码登录,不能审计。
· 斗鱼登录,只能审计到用户名前三个字符。
· 唯品会登录名称加密,审计到的是加密后的用户名。
· 部分网站搜索内容包含空格时,空格会被审计为+。
· win7 32不支持自带的IE浏览器审计。
· win10 32/64不支持自带的IE浏览器和Edge审计。
· 360极速浏览器x不支持审计。
· 不支持按图片搜索的审计。
· 火狐浏览器主页有很多搜索框,直接在主页的搜索框输入是无法审计;
· 浏览器审计规则长时间未更新,很多网站发生变化,导致部分网站、部分行为可能审计不到。
· 浏览器网站搜索和发帖、登录的审计只支持文字,不支持图片、视频和文件等其他规格审计;网盘类网站可以支持文件审计。
· CSDN网站发布文章时使用富文本的时候,发送内容为空的文章,网站不会发送URL请求,无法审计到此行为。用MD编辑器格式发送内容为空的文章,网站就会发URL请求,能够审计到发帖行为。
· 只支持审计使用TLS1.2协议交互的网站行为,不支持审计TLS1.0、TSL1.1、TLS1.3协议。
|
聊天工具 |
推荐版本 |
支持版本 |
|
|
9.7.20.29269 |
V9.5.1--V9.7.20.29269 |
|
微信 |
3.9.8 |
V3.4.0.38--V3.9.8 |
|
钉钉 |
7.1.10-Release.11229101 |
V6.3.5--V7.1.10-Release.11229101 |
|
阿里旺旺 |
10.01.03C |
V9.12.10C--V10.01.03C |
|
TIM |
3.4.8.22124 |
V3.4.1--V3.4.8.22124 |
|
企业微信 |
4.1.12.6012 |
V4.0.18.6008--V4.1.12.6012 |
· IM审计只支持一对一和群聊的文字消息和文件收发审计。
· 昵称最多支持审计63字符,超过63字符会被截断。
· 消息内容最多支持审计8191字符,超过8191字符会被截断。
· IM软件接收名称满规格的文件时,显示在聊天框的文件名与Web上报的文件名不一致;右键在文件夹中显示的文件名与Web上报的文件名一致;IM软件发送满规格文件时,Web显示的是截断后的245字节+后缀名的文件。
¡ QQ不支持审计给“我的手机”发送消息和文件。
¡ QQ发送/接收图片会审计为文本消息[图片]。
¡ QQ发送/接收自定义表情包会审计为文本消息[动画表情]。
¡ QQ发送/接收系统表情会审计为文本消息[表情]。
¡ QQ合并转发个人聊天记录会显示 [xxx 和 xxxx的聊天记录];合并转发群聊天记录会显示[群聊的聊天记录]。
¡ QQ单聊回复消息包含空格,空格前面的内容不能审计到。
¡ QQ一对一聊天使用手机发送消息显示为对方发送,QQ存在限制,无法确定收发人。
¡ QQ自动回复的消息显示为对方发送,QQ存在限制,自动回复的消息收发行为相反。
¡ QQ单条消息长度过大时,审计到的内容为[聊天记录],QQ消息内容超过654字符后,审计到的内容显示为[聊天记录]。
¡ QQ接收或发送的消息内容过大(满规格4500字符)无法审计。
¡ QQ暂不支持卡片类的链接审计。
¡ QQ手机端发送文件无法审计。
¡ QQ手机端给我的电脑发送消息和文件不支持审计
¡ 微信不支持图片、自定义表情包、引用消息、片类链接的审计。
¡ 微信支持视频文件的审计。
¡ 微信聊天不支持文件转发审计(包括逐条转发和合并转发)。
¡ 微信不支持转账或红包审计。
¡ 微信公众号收发消息不支持审计。
¡ 微信视频号收发消息不支持审计。
¡ 不支持审计企业微信好友,或企业微信群组人员发送的消息。
¡ 微信群聊创建后没有修改群聊名称时,默认无昵称,插件未审计到相关昵称,默认以群聊账号名称为昵称
¡ 企业微信不支持审计微信好友,或微信群组人员发送的消息。
¡ 运行插件后创建的企业微信群组可能审计不到群名称,需要关闭企业微信再重新打开。
¡ 企业微信不支持图片、自定义表情包的审计。
¡ 企业微信不支持逐条/合并转发文件的审计。
¡ 企业微信不支持同步手机端发送文件的审计。
¡ 企业微信不支持在线文档的审计。
¡ 企业微信不支持合并转发信息的审计。
¡ 企业微信支持回复消息的审计。
¡ 企业微信接收或发送的@消息,@用户名支持显示。
¡ 企业微信接收微信好友或微信群组的文件,不能被审计。
¡ 企业微信接收文件名称满规格的文件,不能审计。
¡ 钉钉不支持图片、截图、自定义表情包的审计。
¡ 钉钉不支持合并转发文件的审计。
¡ 钉钉不支持合并转发信息的审计。
¡ 钉钉逐条转发文件需要点击下载才能审计,审计行为为接收。
¡ 钉钉接收文件需要点击下载才能审计。
¡ 钉钉不支持回复消息的审计。
¡ 钉钉部分系统消息支持审计。
¡ 钉钉手机端发送消息,会将手机端识别为对端。
¡ 手机端发送文件需要点击下载文件才能审计。
¡ 钉钉不支持卡片类的链接审计。
¡ 钉钉@群成员,审计到的不是昵称,是dingtalk的内部账号;钉钉@所有人时,审计到的是@10
¡ 钉钉发送或接受<,会被审计为\u003C。
¡ 阿里旺旺合并转发消息不能审计。
¡ 支持逐条转发消息审计,不支持合并转发消息审计,为软件限制。
¡ 不支持文件转发审计(包括逐条转发和合并转发),为软件限制。
¡ 阿里旺旺不支持图片、自定义表情的审计。
¡ 阿里旺旺发送表情审计为表情符号。
¡ 阿里旺旺部分信息无法获取,存在部分消息无法审计。
¡ 阿里旺旺存在部分收发行为和昵称显示相反。
¡ 阿里旺旺目前接口不支持审计接收文件,包括一对一、群聊。
¡ 阿里旺旺群聊审计,当用户没有给群发消息的时候,本地接口未获取到群号对应群昵称,此时审计到的群聊昵称为群号;有获取到群昵称时,会以群号显示。
¡ 阿里旺旺不支持卡片类的链接审计。
¡ 阿里旺旺通过界面上的视频按钮发送视频不能审计,复制视频文件到聊天框直接发送可以审计。
安装阿里旺旺是在开启了管理员的情况下进行的安装,安装后打开的阿里旺旺也是管理员权限打开,xdr默认是用户安装,所以权限达不到造成的。
邮箱审计支持的邮箱客户端类型及推荐版本如下表。
|
邮箱类型 |
推荐版本 |
|
Foxmail |
7.2.22.194 |
|
Outlook2003 |
- |
· 邮箱审计不支持非SSL加密邮箱审计。
· 撤回的邮件审计到的主题显示为空。
· 腾讯系列邮箱发邮件时可能会使用私有加密,发送的邮件使用私有加密,目前无法解密,加密内容以附件形式给出,为软件限制。
· 邮箱审计不支持密送人审计,为软件限制。
· 接收QQ邮箱发送带有表情和图片附件的邮件,接收到的表情和图片偶尔无法审计。QQ邮箱为了防病毒(或其他),将附件内容替换,无法审计到内容,目前无法获取到原文件内容。
· 邮件审计流量不是百分百准确,少数情况下可能会出现邮件审计内容与实际邮件内容不一致。
腾讯系列的邮箱接收邮件的流程是腾讯服务器先对原邮件做包装(比如压缩、加密等),再发送到邮件客户端。XDR拦截的是经过腾讯服务器处理后的邮件,暂时不支持对压缩邮件做解析审计。
(1) 开发者手动提交厂商过白:发现软件报毒,提交软件报毒或木马或风险等截图给开发,开发过白(不一定成功)。
(2) 客户自己提供证书过白。
需要等10分种后,才有进程列表日志上报。
· 支持win7-win11操作系统;
· USB审计只支持360桌面和Windows桌面。
· USB审计目前只支持U盘审计,不支持移动硬盘审计。
· USB审计目前支持USB上传下载文件夹的审计,但是不支持文件夹的下载和文件夹大小的审计。
· 不支持对从U盘拷出文件/文件夹到360桌面的行为进行审计和管控;
· 不支持U盘内对文件内容进行编辑后保存的权限进行控制;
· win8操作系统不支持批量拷出和拷入文件的审计;
· 操作U盘概率性出现资源管理器重启;
· 配置USB权限为只读或只写,拷入或拷出文件多次点击重试会概率性操作成功;
· 配置USB权限为只写权限,在U盘内删除文件夹能够删除文件夹里的文件但会遗留外面的空文件夹无法删除;拷出文件夹可以正常拷出,文件夹里的文件不能拷出;
· 配置USB权限为只写权限,desktop.ini会显示在U盘中,不能编辑和删除;
· 配置USB权限为只读权限,删除U盘内文件,执行删除操作后需要刷新U盘页面;
· 拷入拷出文件及文件夹被阻断时,会弹窗提示;
· 拷入文件到U盘,文件名称满规格,审计文件名称和实际不一致;因为满规格文件名包含路径在内有260字节的限制,文件路径长度超过了260字节,拷入到U盘时,操作系统会自动把长文件名转换成短文件名,从而保证路径在260字节内。
· U盘事件日志中U盘插入、拔出操作不记录U盘ID,拷入、拷出操作记录U盘ID。
· 最新设备端配置USB管控白名单超过2047字符时,1.3.183.x和1.3.184.x(2.0.3.x和2.0.4.x)的插件在设备上线后,会反复异常重启,需升级至1.3.185.x及以上版本的插件。
插件的功能是默认离线后继续生效的,如需取消插件的相关功能,可以在设备端删除对应策略,让插件重新上线更新配置信息,或终止插件程序运行,或卸载插件程序。
原因:先安装插件,启用浏览器审计,后配置SSL解密策略,安装解密证书,插件会不信任解密证书,导致插件浏览器审计功能不能正常生效。
解决方法如下(二选一):
(1) 调整安装顺序,先安装解密证书,再安装插件(或者重装插件)。
(2) 删除插件证书(插件安装目录下的SSL目录),重启插件。
· 卸载插件时会导致电脑短暂的断网。
· 使用插件时需要将360安全卫士,火绒安全卫士,以及Windows自带的防火墙等所有安全检查类软件关闭,否则会影响插件功能。
如果访问的是https的网页,需要在设备上配置解密,并且客户端安装证书。
插件安装后为什么在设备上看不到客户端上线?
插件安装后客户机需要重启。
插件是否审计日志,依赖于策略配置,策略配置什么时候下发,依赖于插件请求策略,请检查策略下发周期是否设置过长时间导致的。
不支持https网站的审计,http网站支持人人网、搜狐博客、百度贴吧、新浪博客、猫扑、网易。
光驱刻录审计,必须指定特定的软件:C:\iNode DAMAgent\components\LdCdBurn.exe。
终端客户端安装了插件,授权数量增加一个,卸载了插件,授权使用数量为什么没有减一个?
客户端卸载了不会立即减一,按照注册数判断,一个月自动清理一次。
发送图片或者文件的时候,文件上传不是实时的 终端插件可能有延迟, 可能日志产生了,但是文件还没传完,一开始点击下载,可能存在文件不存在的情况,可以稍后再尝试。
终端插件模板编辑内容输入多个连续空格,在插件推送页面只展示一个空格。
终端审计里,USB操作读写权限设置成只读,但是客户端可以编辑文件和新增文件及文件夹?
因为USB驱动问题(证书)只支持低版本Windows,高版本已被吊销不再支持,支持需要签证书。
该功能依赖硬盘,如果没有硬盘的设备,数据不做统计,如果有硬盘的设备,统计全部是以当天的维度,显示当天总的审计日志条数及具体每个审计模块的日志条数。
该功能需要配合流控策略使用,支持2条线路质量分析,统计线路下行带宽数据来分析整体线路质量。
首页的在线用户中只统计认证用户和匿名用户,点击在线用户可跳转到在线用户页面。
首页的系统日志只报级别是警告及以上的最近20条日志。
首页的审计日志统计各日志当天的记录,并可以点击每一类日志进行详细日志查看。
策略违规展示的是应用控制日志中阻断用户。
共享终端违规展示的是共享接入监控中的阻断用户(阻断和限速)。
限额违规展示的是限额策略中限额用户统计中阻断用户(禁止上网和限速)。
流量分析显示并统计当前流控策略的线路,默认统计前两条流控策略的线路;线路值只统计线路下行带宽,每10s刷新一次。
具体的评分标准是:
· 单条线路
线路优=80:使用带宽占比低于50%;
线路良=60:使用带宽占比高于50%,低于60%;
线路中=50;使用带宽占比高于60%,低于80%;
线路差=40;使用带宽占比高于80%。
· 整体评估
整体线路评分值为:线路1评分值*(线路1带宽限速值/(线路1带宽限速值+线路2带宽限速值))+线路2评分值*(线路2带宽限速值/线路1带宽限速值+线路2带宽限速值)
整体线路评级标准:
优:整体线路评分值大于等于80;
良:整体线路评分值大于等于60,小于80;
中:整体线路评分值大于等于50,小于60;
差:整体线路评分值小于50。
举例说明:
· 单条线路:
31.1/40*100%=77.75%,根据评分标准,此线路质量为中。评分标准如下:
线路优=80:使用带宽占比低于50%。
线路良=60:使用带宽占比高于50%,低于60%
线路中=50;使用带宽占比高于60%,低于80%
线路差=40;使用带宽占比高于80%
· 两条线路:
线路123:31.1/40*100%=77.75%,根据评分标准,此线路质量为中,则线路123的评分值为:50。
线路sdf:28.0/40*100%=70%,根据评分标准,此线路质量为中,则线路sdf的评分值为:50。
评分标准如下:
线路优=80:使用带宽占比低于50%。
线路良=60:使用带宽占比高于50%,低于60%
线路中=50;使用带宽占比高于60%,低于80%
线路差=40;使用带宽占比高于80%
整体线路评估:
线路1评分值*(线路1带宽限速值/(线路1带宽限速值+线路2带宽限速值))+线路2评分值*(线路2带宽限速值/线路1带宽限速值+线路2带宽限速值)=50*(40/(40+40))+ 50*(40/(40+40))=50, 根据评分标准,此整体线路质量为中。评分标准如下:
优:大于等于80
良:大于等于60,小于80
中:大于等于50,小于60
差:小于50
不会。当设备重启或者用户注销、清除会话时,被锁定的会话也不存在,不能再进行解锁会话,需要重新登录生成新会话ID进行设备管理。
当浏览器重新打开窗口访问设备的Web页面,会再次生成一个Session Id,如果锁定需要重新执行锁定会话。
饼图图例右侧显示,当显示为一列的时候最多显示10个字符(不区分中文、字母、数字),大于10个字符显示...
当显示为两列的时候最多显示5个字符(不区分中文、字母、数字),大于5个字符显示...
不是,攻击趋势只展示各模块1天内最新5W条数据。
在线用户冻结是基于用户维度的,不支持IP维度。
在线用户踢除支持基于IP维度。
设备Web页面的在线用户页面显示MAC为0的用户,并且有计数;通过命令行display user-recognition 也可查看在线用户的信息。出现mac为全0的情况如下:
(1) 由本机地址发起的会话,目的地址不在用户识别范围内,则会以本机地址为用户名,mac为全0记录在线用户;
(2) 第三方推送的用户,没有推送mac地址或者推送的用户没有流量经过设备时,第三方用户的mac也记录为全0;
(3) 会话源地址不在识别范围,但是目的地址在识别范围,MAC为0。
域用户目前不限制认证方式,只要域用户中存在同名用户上线,在线用户列表中的域用户组织结构下就会显示在线用户信息。
在线用户列表中,本地属性结构下只显示预定义属性组下的在线用户信息,不显示自定义属性组下用户的在线用户信息。
接口状态页面显示的接口信息是物理接口的接口信息,不包括子接口、网桥接口、聚合接口、隧道接口和3G接的状态信息。
接口统计的数据为接口接收到或转发的流量信息,而整机转发的流量是指结果设备处理的流量信息,如果接口接收到或转发的流量没有经过设备处理,则整机转发流量信息为空。
接口状态页面的数据,默认自动刷新的时间为30s,也可以手动刷新,刷新时向后台获取一次数据。
监控统计中会话统计与设备健康统计中会话统计,同一时刻数据存在误差,是由于两个功能采集方式不一致导致,会话监控采集周期是1秒一次,而设备健康统计中最小采集周期是1分钟一次
支持选择时间段查询,必须点击到数据点才可以,如下图:
(1) 最近1小时,不支持选择时间查询;
(2) 近4小时->1小时,只有后三个小时支持选择时间查询,最近一小时不支持,需要切换统计时间查询;
(3) 最近1天->4小时->1小时,只有后20个小时支持选择时间查询,最近4小时不支持,需要切换统计时间查询;
(4) 最近1周->1天->4小时->1小时,只有后6天支持选择时间查询,最近1天不支持,需要切换统计时间查询。
单用户故障检测功能的使用限制和注意事项:
(1) 自定义监测地址不支持https网站。
(2) 如果多个终端使用同一个认证用户上网,终端都会推送测试页面,但只能监测一个终端。
若探测用户名为IP地址,则只针对此IP地址的用户进行单用户检测,不会检测此IP地址的匿名用户。
(3) 谷歌浏览器访问检测地址url:www.ce.cn,第一次访问时弹出检测页面,新建标签页再次输入该url时,被浏览器自动识别成https,导致检测页面无法弹出,此问题为谷歌浏览器导致,其他浏览器无此现象,设备无法控制,访问的时候可采用明确http访问的方式规避此类问题。
资产管理适用于内网监控场景,提供以资产为核心的安全监控和分析理念,通过资产梳理、主动风险发现、被动流量检测,帮助用户构建对IT资产实现多维度的安全分析监控。
通过流量发现、端口扫描、手动添加方式添加资产,其中流量发现、端口扫描加入的资产需要配置资产识别设定范围。
资产管理中资产信息是实时数据,而资产安全分析中是汇总数据,15分钟汇聚一次,因此存在时间差。
资产管理只会同步手动添加的,自动发现的不支持同步,导入的所有资产可支持同步至备机。
活跃状态代表资产在线,若一个小时内资产没有更新,则认为是离线设备,页面展示为空闲状态。
资产管理,无硬盘设备,支持5000规格,有硬盘设备,支持5W规格,达到规格后,只支持更新不支持新增。
属性状态列的数字用来标识操作系统、部门、用户名是否为用户自定义,第一位为操作系统是否自定义标记,第二位为部门是否自定义标记,第三位为用户名是否自定义标记,如果是自定义的就为1,不是自定义的就为0,然后转换为十进制数进行显示,比如用户名和部门是自定义的,操作系统不是自定义的,那就是二进制的110,转换为十进制数即为6。
流量发现不支持本地链接 IPv6 地址。
设备资产管理的同步策略状态包含两种方式:
· 手动同步:管理员使用资产管理的立即同步的功能进行同步。
· 自动同步:每天凌晨三点进行策略状态同步。
资产管理策略状态查询是使用资产IP匹配控制策略中的源地址对象,如果没有命中,则显示无策略。同时不会匹配禁用的控制策略,只会显示出查到的第一条控制策略。
资产模块中每个资产都有两个时间,一个是风险计算时间;另一个是更新时间,分别对应着两个功能:
· 设备使用风险计算时间来统计风险,为了避免乱改时间等导致设备异常,默认将改时间修改为1970年Unix开始时间,当用户重置风险之后,该时间会更新为重置时的当前时间。
· 设备使用更新时间来确定设备的状态,处于活跃或者空闲,同样也为了避免乱改时间导致的统计异常,这里初始时间也设置为1970年;当设备检测到改资产的流量时,会每隔一段时间更新数值。
这两个时间字段是用于实现资产安全分析中展示风险和更新状态两个功能,属于内部处理逻辑需要用到的数据,默认不在UI上展现出来,以免误导用户。
设备流量统计收发包的大小实际上是去掉了4字节的CRC校验,所以会小于实际的流速。使用实际的发包大小减去4字节,再计算出来的流速将与设备统计值相等。
整机转发流量统计的为设备的流速,上行即为外网口的发包速率,下行即为内网口的发包速率。当不设置外网口时,上行流速即为0。
设备整机流量统计本地发包和转发,而用户流量统计只统计转发的流量,所以两者的值会有所出入。
设备流量统计的值每隔1小时会把数据保存一次,当设备异常掉电,未能及时保存数据,设备启动后,最多会丢失1小时的数据。
设备流量统计,每次取的时间是绝对时间。更改系统时间,设备流量统计不会随着系统时间的更改而变化。当设备时间为10:00,已经产生近一小时的流量图,把系统时间更改为11:00时,近一小时的流量图依然不变,只是显示的时间有所更改,变为10:00-11:00的流量图。同理当更改为9:00时,设备流量图依然不变,显示的时间变为8:00-9:00。
特殊情况是:当更改完系统时间后马上重启,此时会对设备流量图有所影响。
如上的例子,当设备时间为10:00,更改为11:00后,马上重启,启动后设备流量图10:00-11:00会为0,之前的数据依然保存。当更改为9:00,马上重启,启动后,9:00之前的数据会为空,因为更改时间后,把之前的数据给覆盖了,所以之前的数据都会为空。
导出功能只能导出最近一周的数据,也可以通过命令(export health statistic info tftp)导出
导出数据中内存会展示三列:全部内存、控制内存、数据内存。
页面默认只展示全部内存数据,可以通过命令(health memory detail info enable|disable)打开及关闭展示控制内存和数据内存。
只有统计时间为最近1小时,才有定时刷新功能,周期为1分钟。
设备运行过程中,设备修改了系统时间,统计数据展示不会根据时间来丢弃原有数据,只有掉电重启后,才会根据修改后时间来展示数据。
如果查看的时间区间不在同一天,以最近4小时(时间范围2018-09-04 22:05—2018-09-05 02:05)为例:在最近4小时页面,点击其中“23:05—00:05”区间,页面显示时间范围图标为:
(1) 流量统计:采集的是平均值。
(2) 会话数:允许和阻断,采集的是瞬时值。
(3) CPU信息:加权平均值,假如采集点是1分钟一个,那1分钟收集12个瞬时值,然后将这12个值进行平均计算。
(4) 内存信息:采集的是瞬时值。
(5) 会话信息:当前会话数和新建会话数,采集的是瞬时值。
(1) 目前统计信息存储在/mnt/目录下,设备启动之后,1分钟保存一下临时数据,15分钟保存到/mnt/目录下。
(2) 正常重启前(比如执行reboot),会将临时数据保存到/mnt目录下;异常情况,比如断掉或者nmi,无法及时将临时数据拷贝到/mnt下。
(3) cpu繁忙会影响数据的记录(定时器得不到调度),只要dplane进程不挂死,就可以正常收集数据,如果dplane控制核挂死,无法记录数据。
如果更改了客户端的时间后,设备的当前时间和终端浏览器时间可能不一致,在用户流量统计页面自定义统计时间时,显示的时间与当前客户端时间可能不一致。
刷新浏览器后,设备Web页面上的自定义时间与当前系统时间一致。
如果设备开启了系统会话日志,后台会有很多任务执行比较慢,如果查看最近30天及以上数据会比较慢。建议关闭系统会话日志后再进行查询操作。
· 1小以内的查询,是1分钟的颗粒度。
· 2小时以上、3天以内的查询,是10分钟的颗粒度,就是10分钟的数据。
· 3-15天查询的数据库里1小时的数据。
· 查询15天以上的数据,查询的是4小时的数据,4小时的数据汇聚是0点,4点,8点,4的整数倍的时间点会汇聚,如果没有4小时的文件目录,那么查询15天以上是没有数据的。
· 查询时间段内没有数据,先检查下设备在这个时间段内是否有流量产生。
整机转发流量的上行流量和下行流量,是通过接口的内网口和外网口属性来确定的,通过内网口转发的流量为下行流量,通过外网口转发的流量为上行流量。
(1) 最近1小时,1分钟采集一次。
(2) 最近4小时,5分种采集一次。
(3) 最近1天,10分钟采集一次。
(4) 最近1周,1小时采集一次。
会话统计的排名是按照会话连接数的多少进行的排名,默认只显示前50个会话的排名。
原因是当一条流老化后,又重新产生了一条这样的流,此时存在时间就为0秒。在清流过后,立即在web监控页面查看会话监控,容易出现此情况。
如果该会话不在用户识别范围中,则无法获取到对应的用户及用户组,所以会话监控统计页面上用户及用户组显示为空。
因为HA主备环境下不同步匿名用户,备机上有没有相关流量识别匿名用户,所以备机上没有此相关用户,从而不显示。
用户和组显示为空的几个可能原因:
1、匿名用户超过最大限制(在线用户规格)
超过限制之后,设备会踢掉一些在线用户(最早的上线的那个),此时会话仍然存在。
2、会话刚创建还未进行识别
这种情况下的隔一小会儿就会正常识别。
3、会话老化
会话老化的也会主动将用户信息清除。
4、用户注销或老化
5、用户不活跃超过20分钟,系统内部有一个定时器,超过20分钟不活跃的用户也会被清除。
问题原因:当前数据库机制是单进程查询,当日志量较大时。用户信息中心、安全分析、资产分析、web防护分析、报表等模块数据汇聚通过logdb进程查询,触发多个查询任务时任务进行排队,导致数据回显慢。
统计集中最近1小时的刷新间隔是1分钟刷新一次,统计最近1天的刷新监控是10分钟刷新一次、统计最近1周的刷新间隔是60分钟刷新一次。
近1小时流量趋势图中,将鼠标移动到每分钟上,会显示当时的流速即1分钟内流量的平均值;近1天流量趋势图中,将鼠标移动到每整10分钟时,会显示当时的流速即10分钟内流量的平均值;近1周流量趋势图中,将鼠标移动到每整小时时,会显示当时的流速即1小时内流量的平均值。
统计集中用户的类型包括匿名用户(IPv4用户及IPv6用户)、静态绑定用户、本地认证用户及第三方认证用户。
对于不同的系统平台,统计集所显示及统计的用户及应用的规格是不同的,可以通过命令display flow-account specification查看规格。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集右上角有一个刷新按钮,页面不会自动更新,当用户设置统计集按最近一小时、最近一天、最近一周时,后台分别以1分钟、10分钟、60分钟进行更新,此时前台页面需要手动点击<更新>按钮进行刷新页面。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集暂时不支持HA,即主墙数据不会同步到备墙,当HA主备切换后,备墙开始记录数据。
统计集数据目前不能保存,也不能随配置导出再导入。
饼图默认显示流量最高的10种应用以及其它应用,即Top10+1,其它应用是指应用总流量小于0.8%时,记录到其它应用中。
只统计转发流量,不统计到本地流量。
当页面放大或缩小时,饼图的应用注释会与饼图分享,不建议将页面放大或缩小查看。
统计集支持设备旁路模式,能够将Span镜像出来的数据进行数据统计。
应用统计可以在应用中进行点击,页面跳转到使用该应用的用户页面,用户统计即当前发起流量的IP或实名认证用户,点击该用户,可以具体查看该用户所发起的应用流量。
Clear ucc user可以清除内存中的用户缓存,清除后便可以识别出新用户。
当产生日志时,用户中心的日志计数即加1,但若使用测试仪,1s的日志量很大,已经达到了数据库入库的限制,日志在入库时会产生丢失日志的现象,此时便会出现用户中心的日志数少于链接过去的日志数。
未到更新时间,用户根据设备型号不同,同步的时间也各不相同,当用户中心规格高于或等于2w时,每15s同步250个用户;低于2w时,每30s同步100个用户。display capacity命令可以查看当前用户中心的规格数UCC_USER即代表的用户中心的用户数,此规格限制是针对内存中对于用户的限制。
用户根据设备型号不同,同步的时间也各不相同,当用户中心规格高于或等于2w时,每15s同步250个用户;低于2w时,每30s同步100个用户。并且当在线用户远远大于用户信息中心规格时,超过规格的用户审计日志不会入库,就会出现统计为0的情况,display capacity命令可以查看当前用户中心的规格数UCC_USER即代表的用户中心的用户数,此规格限制是针对内存中对于用户的限制。
系统启动时会创建一个进程dplane_email_dump专门用来将用户的数据存储到硬盘和数据库中;
每隔30s就会将用户的数据通过update语句更新到数据库中,每次最多更新250个用户,每个用户每次只有一条数据,更新完该用户的数据后,会将该用户移到链表的尾部,等待下次更新;
停流后,用户的数据依然在链表上,没有存储到数据库,设备用户中心最多存储20000(不同设备型号规格不一样)个用户,每30s存储250个用户,20000个用户则需要40分钟;
用户流量统计饼图是显示的top9和9+,9+表示的是除top9以外的应用流量统一为其它。但当某应用类的流量小于总流量的0.8%时,饼图不单独呈现该应用类,只是放在其它里统一呈现。
用户中心网站访问分析中不记录URL为其它类的日志数,所以用户中心中的网站访问日志数会比该用户总的网站数少。
用户中心的在线时长是记录1天的总的时间,当跨天的时候,用户中心会重新计算。而在线用户跨天存在时,在线用户所记录的在线时长是总的时间,所以会多于用户中心所记录的在线时长。
用户信息中心在线时长统计的是当天用户累加的在线时长信息,而在线用户统计的是用户最近一次的在线时长,如果设备当天重启或其他方式进行下线,用户再次重新上线,在线用户会重新记录在线时长,而用户信息中心会把当天重新上线前的时间也记录,所以会出现用户信息中心的在线时长多于在线用户显示的时长。
用户中心用户的排名是根据虚拟身份、日志数、流量大小、网站访问数做的综合分析,得到一个权值,按这个值进行的排名。
时间轴记录的应用行为以及相同应用再次记录的时间间隔如下:
· 即时通讯类登录行为:时间间隔为1天,也就是1天内时间轴上只会记录不同即时通讯应用。
· 搜索类搜索行为:时间间隔为2分钟。
· 社区类发表行为:时间间隔为1分钟。
· 邮件类发送行为:时间间隔为1分钟。
· 视频类下载行为:时间间隔为30分钟。
· 文件传输类文件传输行为:时间间隔为150秒。
· 电子商务类搜索行为:时间间隔为150秒。
当时间间隔未达到时,同种应用行为不会被记录到时间轴上。
由于无线网络时多个用户同时使用无线,使得用户中心看到的账号信息为多个用户所使用的账号信息,不建议在无线下使用用户中心查看用户信息,仅做参考使用。
数据中心数据统计入库存在保护机制。当设备最后一个核CPU的使用率大于90%时,将不在进行数据更新入库操作,统计流程进入保护状态。当设备最后一个核CPU的使用率降低至小于60%时,统计流程恢复,正常记录更新数据统计入库。
安全事件分析包含入侵防御检测日志(不包含自定义规则)、WEB防护日志、防暴力破解日志、网络层攻击日志(只统计扫描攻击防护日志)。
在安全事件分析中呈现的级别是根据该攻击源中产生的最高级别攻击日志展示的。
资产安全分析包含入侵防御检测日志、WEB防护日志、弱密码防护日志、防暴力破解日志、网络层攻击日志(只统计扫描攻击防护日志)、病毒防护日志、非法外联日志、行为模型(DNS隧道)日志。
各种类型日志,使用资产IP做检索,不同的安全日志检索的源和目的不同,说明如下:
· 入侵防御日志:基于目的地址统计;
· WAF日志:基于目的地址统计;
· 弱密码防护:基于目的地址统计;
· 防暴力破解日志:基于目的地址统计;
· 网络层攻击(扫描攻击防护日志):基于目的地址统计;
· 病毒防护日志:基于源地址统计;
· 非法外联日志:基于源地址统计;
· 行为模型(DNS隧道):基于源地址统计。
对于流量发现的数据,获取流量信息和获取用户信息是异步的,使用定时器2分钟获取一次链表上存储的流量信息,根据流量数据中的IP从用户结构上查询用户和用户组信息时,由于此时用户已经下线了,导致没有获取到用户和用户组信息,该问题为正常现象。
不是,安全分析只分析各模块最新5W条数据。
风险计算算法,通过计算威胁事件条数来确定风险级别(1-100为低风险,101-200为中风险,201以上为高风险)。
页面数据每15分钟执行一次新的查询表以及插入最新数据的操作,若浏览器访问安全分析页面后,页面一直没有刷新,此时后台定时器恰好执行读取最新数据并更新表中内容,再点击页面上的数据查询,旧数据可能已被覆盖,会出现概率查询不到的现象。
问题原因如下:
(1) 浏览器每次进入页面,会开启一个请求进程(根据ID区分)。
(2) 数据是采用递归的方式发起请求获取,直到数据成功获取才会停止请求,在此过程中会发起很多次请求。
(3) 每一个请求处理完成后才会处理下一个请求。
(4) 如果页面频繁切换,导致出现了大量等待响应的请求(浏览器的机制)。
综上,会出现服务器处理繁忙,部分请求响应失败,浏览器提示“服务器响应出错”的现象。
规避措施如下:
访问设备页面数据加载完前不要频繁切换页面,等服务器响应完成后可以正常回显。
1G内存设备报表格式只支持html格式,2G及2G内存以上设备报表格式支持pdf和html两种格式。
统计报表模块依赖于设备硬盘,只有在有硬盘的设备上才会显示,没有硬盘的设备上将不会显示统计报表模块功能。
目前的报表统计流程是:
(1) 制作报表
(2) 更新记录(报表占用空间使用率数据更新)
(3) 数据汇聚(从内存中获取会话数、CPU、内存使用率状态信息存入数据库中)
(4) 休眠5分钟
以上4个步骤循环。
有两种情况会影响报表统计的数据不准确:
(1) 设备运行异常、当CPU和内存使用率很高时,可能会导致读取会话数、CPU和内存使用率的数据失败或入库失败导致数据缺失或入库数据不准确。
(2) 当系统繁忙,数据汇聚时间过长时(比如2个小时),会导致这段时间的会话数、CPU和内存使用率数据获取不到(数据汇聚时不会从内存获取会话数、CPU和内存使用率的数据),这样就会导致后续数据汇聚时存在数据缺失。
数据统计报表上汇聚的数据是通过整点进行汇聚,为了提高数据汇聚效率,目前方法是在整点时去记录当前时刻数据库表中最大ID,通过两个整点之间的最大ID之差来获取对应统计的总数;
有两种情况会导致数据统计与真实数据存在误差:
(1) 当报表进程有任务执行时,不能保证整点时刻记录的ID时就是当前这一时刻的,可能存在延后几秒的情况;
(2) 当整点时刻正好有大量数据入库,此时获取整点时刻记录的ID并不一定能保证是最开始的那个,可能是中间某一个ID。
主要是由于采样以及数据分区划分的原因:
(1) 采样原因:UI上的统计采样是分布均匀的;报表中的采样分布不均匀,报表数据采样时由于需要处理很多数据的汇聚,所以每次采样的间隔时间都不同;
(2) 数据分区:UI上的统计是按照时间进行数据分区,然后每个分区取均值;统计报表数据是根据采样数据的记录条数来分区的,每个分区数据量=采样数据总数/分区数,这样计算出来的分区数据无法跟显示时间对应,所有造成UI统计显示与报表统计显示不一致。
是的,报表开启数据统计,在数据量较大时,报表的汇聚是会占用cpu资源的,报表汇聚目前进行了保护,如果cpu超过85或内存超过90时会等待30秒,如果30秒后cpu以及内存降下来了,再开始汇聚,因此会出现描述现象。
是的,点击手工同步会同步报表管理中的配置,不会同步历史报表中的文件,同时HA监控中的系统配置会显示两端配置一样,不会对比历史报表是否一致。
为节省设备资源,统计报表的数据统计功能默认是关闭的,需要在设备的“数据中心>统计报表>配置管理”中开启报表的数据采集功能,数据统计才会开始汇聚统计。
报表中的CPU利用率统计和UI上的统计不符主要是由于采样以及数据分区划分的不一样。
· 采样原因:UI上的统计采样是分布均匀的;报表中的采样分布不均匀,报表数据采样时由于需要处理很多数据的汇聚,所以每次采样的间隔时间都不同;
· 数据分区:UI上的统计是按照时间进行数据分区,然后每个分区取均值;统计报表数据是根据采样数据的记录条数来分区的,每个分区数据量=采样数据总数/分区数,这样计算出来的分区数据无法跟显示时间对应,所以造成UI统计显示与报表统计显示不一致。
报表配置(单次报表、日报表、周报表、月报表)中保存的是时间对象名称,当报表开始制作时,会根据时间对象取出对应的时间范围来获取数据,由于从开始制作报表到报表制作完毕需要持续一段时间,且用户无法感知到,因此在此期间修改的时间对象的时间范围不会应用到已经开始制作报表的任务上,因为已经取过时间范围了所以不生效。新修改的时间范围会在下个报表制作时应用。
创建周期报表,如果启用FTP外发,报表名称应该满足对端系统的要求,例如FTP服务器为Windows主机,建议名称不要包含\/:*?”<>| 中的任何字符(Windows系统不支持的字符)。如果报表名称包含了这些字符,报表发送FTP服务器失败,且将报表下载到Windows系统的时候,以上不支持的字符会被转成下划线_。
是的,为了增强数据库存储和导出功能,更换了数据库架构,导出最大规格时日志时比较慢。
如果修改了设备时间,登录设备Web管理页面,访问日志中心,点击查询后,弹出日志过滤页面,默认显示的时间是当前时间,而不是修改后的设备时间。
日志查询页面,浏览器取的默认时间是访问设备Web页面的PC的时间,不是设备的时间。
正常情况下,设备时间和PC的时间都是自动更新的正确时间。
不支持,比如邮件日志里的内容和附件就不支持导出。
只支持带硬盘可以访问审计日志页面的设备才具备日志导出功能。
当导出日志中某一天无日志记录时不生成该日期的空内容导出文件。
导出今天的日志系统只做了起始时间的判断,没做终止时间的限制,如果人为修改了系统时间,就会导出比当天时间大的日志。影响很小,基本不影响现网环境使用,只要保证系统时间是对的就行,对于设备来说,当天只要下一个起始时间就能导出正确的日志来。
是的,如果文件名称中包含“%”,依据现行通用的实现机制,%会认为是URL 编码,并对%后的两个字符进行URL解码,导致页面中显示的文件名称会和实际文件名称不同。
(1) 日志并不是针对时间进行分区,而是根据5W容量进行分区。只有相关日志文件的时间戳完全超时,才会进行删除;否则不会删除。所以基于时间删除,可能会有最多5W条日志没有删除掉。
例如:审计日志保存期限设置为365天,访问网站日志在2022年1月1日记录了9万条日志,在2022年12月1日记录了1万条日志,期间无访问网站日志产生,2023年1月2日,只会删除2022年1月1日记录的前5万条日志,即时间戳超时的日志文件。
(2) 日志按照整个日志文件进行删除,只有日志文件完全超期了,相关日志才会删除。因此存在当日志量很少,少于5W条时,且最近日志的时间在日志保存期限之类,则按时间删除不起作用。
例如:操作日志的保存期限为365天,2022年1月1日仅产生了1条操作日志,2022年12月1日也产生了一条操作日志,期间无操作日志产生,2023年1月1日时,不会删除操作日志,直到2023年12月2日,该日志文件的所有日志都超过保存期限,才会删除日志。
(3) 日志删除的精度存在4个小时的误差。例如:系统会话日志的保存期限为7天,2022年11月1日产生了系统日志,当设备时间到2022年11月8日时,只会删除11月1日0:00~3:59的日志,而4:00到23:59的日志需要到11月9日的凌晨4点才会删除。
(4) 当日志占用空间超过磁盘容量的85%时,凌晨4点触发删除日志后,日志可正常入库,但因为汇聚表被删除,安全分析模块不可用。超过磁盘的90%时,触发删除日志后,数据库状态为pending,所有模块日志均停止入库,不再记录日志,直到删除完成为止。
对于GRE封装数据会拆掉GRE头,记录TCP,UDP会话,所以这类数据不统计进GRE数据内。
当在线用户数量达到上限后会踢掉最早的匿名用户,会话重新匹配策略,此时会话存在但是策略ID为空。
对于操作日志,系统可以获取到设备UI登录时的语言环境,记录日志时候可以根据获取到的语言标识进行相应的显示。
但是,系统日志及用户上下线日志记录是由系统的语言环境来决定的,不受登录时语言环境的影响。可以使用命令system language chinese | english来设置系统的语言环境。
浏览器渲染空格的时候,会默认把多个空格渲染成一个空格显示,所以复制粘贴的结果变成了一个空格,为浏览器软件的限制。
· 对于无硬盘设备,所有支持的日志的规格都是50万条。即:单日日志记录不能超过50万,累积日志记录也不能超过50万条。
· 对于有硬盘设备,系统日志和操作日志的规格是150万条。单日日志记录不能超过150万,累积日志记录也不能超过150万条。
· 对于有硬盘设备,除系统日志和操作日志外,没有规格限制。单日日志记录条数无限制,累积日志记录也无限制(但是会受制于磁盘容量限制)。
· 不查询直接导出:导出的是所有日志。最多支持导出100万条数据(即如果日志量超过100万条,则导出最近的100万条日志),最多导出180天的数据(即如果日志量跨度超过180天,则导出最近的180天的日志)。
· 查询后导出:导出的是经过查询后的日志。最多支持导出100万条数据(最新的)。
· 预设条件:系统时间为2023-06-30,日志保存期限为90天。(为了便于说明问题每个月按30天计算)
· 日志保存期限的检测:
(1) 若修改的系统时间变小(值为2023-05-29),则日志最大保存期限为[2023-02-30 至 2023-05-30]。
检测过程简述:
a. 日志保存期限的检测任务,会在后台周期轮询;
b. 检测日志文件最后修改的时间是否在[ 至 2023-02-30 至 2023-05-30]之内,若不在此范围则删除此日志文件。
说明:
a. 日志检测的颗粒度是按照文件进行的(每个文件可以存储5万条日志),即根据文件最后的修改时间进行判断日志文件是否在保存期限范围[2023-02-30 至 2023-05-30]内;
b. 而不是对文件内的具体日志内容进行检测的,系统时间突然变小会存在多删除日志的情况。
例如:
系统时间修改前2023-06-30 00:00:00,存在一个日志文件 /t_log_event/20230601-144600.log,
文件大小为5万条,最后一条日志的时间2023-06-01 14:46:00,第一条日志的时间是2023-05-01 14:46:00
系统时间修改成2023-05-29 00:00:00,则日志最大保存期限为[2023-02-30 至 2023-05-30],
需要删除 /t_log_event/20230601-144600.log 这个文件,则 [2023-05-01 至 2023-05-30 14:46:00]内的日志也被删22除
(2) 若修改的系统时间变大(值为2023-07-30),则日志最大保存期限为[ 2023-04-30 至 2023-07-30 ]。
检测过程简述:
a. 日志保存期限的检测任务,会在后台周期轮询;
b. 检测日志文件最后修改的时间是否在[ 2023-04-30 至 2023-07-30 ]之内,若不在此范围则删除此日志文件。
说明:
a. 日志检测的颗粒度是按照文件进行的(每个文件可以存储5万条日志),即根据文件最后的修改时间进行判断日志文件是否在保存期限范围[2023-04-30 至 2023-07-30]内;
b. 而不是对文件内的具体日志内容进行检测的,系统时间突然变大会存在少删除日志的情况。
例如:
系统时间修改前2023-06-30 00:00:00,存在一个日志文件 /t_log_event/20230430-144600.log,
文件大小为5万条,最后一条日志的时间2023-04-30 14:46:00 ,第一条日志的时间是2023-03-01 14:46:00
系统时间修改成2023-07-30 00:00:00,则日志最大保存期限为[2023-04-30 至 2023-07-30],
不需要删除 /t_log_event/20230430-144600.log 这个文件,则 [2023-03-01 14:46:00 至 2023-04-30 14:46:00]内的日志不会被删除。
(3) 特例说明:
若系统时间修改的范围大于10天,
则立即对(系统和操作)进行日志是否超出日志最大保存期限的检测。
其他日志在凌晨4点进行日志最大保存期限的检测。
系统和操作进行日志是否超出日志最大保存期限时,会保留cur.csv文件不被删除。
若日志数目少于1万条,页面可以显示所有日志(通过翻页查看)。
若日志数目大于等于1万条,页面可以显示最新的1万条日志(通过翻页查看)。
根据R6616以下版本中pg库日志原来的删除机制,R6616删除pg的规则如下:
· 硬盘使用率 >= 90%时
(1) 获取pg库中,最老日志的日期(min_date)。
(2) 删除/disk/mail/目录下小于min_date的文件。
(3) 删除/disk/inode_file/log/目录下小于min_date的文件。
· 若此时硬盘使用率依旧 >= 90%
(1) 获取最老日志的日期(min_date)。
(2) 删除pg库中min_date日期的日志天表。
(3) 删除/disk/mail/目录下,min_date日期的文件。
(4) 删除/disk/inode_file/log/目录下,min_date日期的文件。
(5) 若此时硬盘使用率 >= 80%,且本轮删除老日志的循环次数小于20次,则重复(1-5)的步骤,否则结束本轮老日志的删除。
说明:
· logdb原来的删除机制不变,只对pg库的删除做了变更。
· pg库完全删除前,不删除R6616新产生的日志。
系统每5分钟扫描一次日志,根据系统当前时间不同删除的机制不同。
(1) 如果当前时间是凌晨4点,设备日志的删除机制分为设备有磁盘和无磁盘的两种情况:
a. 设备有磁盘:系统日志和操作日志按照规格(50w条)限制删除。如果当前日志数大于规格限制,则按照最早的日期逐天删除日志,直到剩余的日志条数小于规格的95%,才停止删除;其他日志按照时间限制删除。
b. 设备无磁盘:所有日志按照规格(50w条)限制删除;日志数大于规格,则按照最早的日期逐天删除日志,直到剩余的日志条数小于规格的95%,才停止删除。
(2) 如果当前时间不是凌晨4点,删除机制如下:
第一步:若磁盘使用率大于等于90%,则直接删除原有的(R6616以下版本)全部PG日志;
第二步:完成第一步后,若磁盘使用率还是大于等于80%,则按照日期规格清除;
第三步:完成第二步后,若磁盘使用率还是大于等于80%,则逐步删除老的日志,直到磁盘使用率小于80%或者剩余的日志都满足(时间限制天数/30,此表达式值不能为0,最小值为1)时,则终止删除。
第四步: 完成第三步后,若磁盘使用率还是大于等于80%,则 串口打印信息,例如:"ERROR: Failed to reduce disk usage, now disk usage is 80%"。
设备的探针功能默认为关闭,默认发送非探针格式日志;在“系统管理>日志设定>日志过滤”页面可以手动开启和关闭探针格式日志,也可以通过命令行log nta-mode enable开启探针格式日志,通过命令行log nta-mode可以关闭探针格式日志。
探针功能开启后,会话日志、审计日志和安全日志的日志内容和格式将按探针日志格式发送,探针日志包括会话日志、加密流量TCP统计日志encrypted_traffic、访问网站日志,IM聊天日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志、协议审计日志,其他应用日志(DNS日志、telnet日志、LDAP日志、ssl加密日志、login日志)、安全防护中的扫描行为、入侵检测日志、病毒防护日志、防暴力破解日志、弱密码防护日志、行为模型日志,非法外联日志。
· 其中会话日志和ssl日志会影响性能,系统默认为不发送,如需发送可在日志过滤页面进行设置。
· 开启探针日志后,无线非经中的虚拟身份日志、上网日志和普通内容日志可能会无法产生。
HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。
随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,
网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益
成为受关注的焦点。
在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、
提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。
目前产品支持两台网关设备以主-备模式运行。
主备模式是指实现HA的两台设备中, 一台作为主设备, 另外一台作为备设备。主设备在进行业务的同时, 将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。
在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。主备设备之间通过HA心跳线同步状态信息,配置信息以及特征库文件。
主备模式支持路由模式和透明模式。
主主模式是指实现HA的两台设备中, 两台均为主设备。主设备在进行业务的同时, 将流表信息和认证用户信息同步到对端。当其中一台设备出现故障或链路中断时,另外一台设备作为故障设备的备份,接管原主设备的工作,实现网络业务的无缝切换。
在主主模式下,两台设备均工作,转发流量。主主设备之间通过HA心跳线同步状态信息。
主主模式支持路由模式和透明模式。
HA主备的工作状态主要有两种,主模式和备模式:
· 主模式是指在设备HA主备模式中,实际参与工作。
· 备模式是指设备在HA主备模式中,作为主设备备份,不参与实际工作。只有当主设备失效,才转换为主设备,接替其工作。
HA主主的工作状态为主模式:
· 主模式是指在设备HA主主模式中,两台设备均参与工作。其中一台设备出现故障,另外一台承接出现故障的业务。
HA中,主要有两种接口概念:
· HA接口:连接两台HA设备的接口,不参与报文的转发,只用于HA设备接收心跳报文和同步报文使用。
· 监控接口:HA必须重点关注的设备接口,如果此接口状态为down,表明网络状态发生故障,需要切换主备设备来修复故障。
· 非抢占方式:如果备份组中的路由器工作在非抢占方式下,则只要主路由器没有出现故障,备设备不会主动成为主设备。
· 抢占模式:抢占模式时指用户可以根据需要,制定某一台设备优选为主设备或者为备设备。如果配置优选为主设备的设备工作正常,即使当前设备为备状态,也要“抢占”成主设备。
· HA的两台设备抢占模式必须匹配。或者全部配置成非抢占模式,或者一个配置成抢占为主,一个配置成抢占为备。否则HA无法正确协商。
为了避免HA设备频繁进行主备状态转换,备设备在网络状态恢复为正常状态后,也不会马上抢占为主,而是在流表等信息同步完成后,等待一定时间。只有在这段时间内,设备依然正常,才会通知主设备,抢占成主。
HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。
处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。
HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息,设备配置,特征库。
· session信息:包括设备连接表、fdb、用户信息、PKI。
· 设备配置:同步的设备配置中不包含HA配置信息,以及一些特殊的配置。
· 特征库:特征库包括IPS特征库,AV特征库,APP特征库以及URL特征库。
· 当设备启用HA主备模式后,设备进入init(初始化状态)。在这个状态,设备不参与报文转发,只接受对端HA设备的keepalive报文。如果收到了主设备发出的keepalive报文,设备会进入备状态。如果没有收到keepalive报文,设备会进入主状态。
· 如果设备成为主状态后,会向外发送免费arp报文,用来更新上下游设备的arp表(工作在路由模式),或者向外发送特殊的报文刷新上下游交换机的fdb信息(工作在透明模式)。
· 如果设备成为备设备,设备会清除自己的fdb表(如果工作在透明模式),并且向主设备请求状态信息。
当设备启用HA主主模式后,设备进入init(初始化状态),然后状态置为master。设备收到对端发来的keepalive报文,两端设备协商参数。建立master邻居后,靠心跳报文保持邻居关系,并启动定时器。若在定时器(定时器时间为interval *retry次数)时间内,未收到心跳报文,则状态置为master(A)。出现故障的设备状态置为master(N)。master(N)状态的设备,监控接口不参与报文转发。
· 两台设备必须型号一致,板卡一致。
· 两台设备的序列号要求不一致。序列号一致建不起来邻居。
· 查看心跳线接口状态是否正常。
两台设备均配置监控接口,当其中一台设备的接口down掉后,两台一台设备的接口将对端地址代理,代理地址置为active,此接口参与出现故障设备的业务转发。
Ha主主环境下,流表信息同步,某种业务的控制报文走的其中一台主主设备,数据报文可以从另外一台设备收上来。
低端硬件型号不支持硬盘,如果主设备上插了U盘或移动硬盘,而备设备上没有,这样主设备上就会下发非经的配置,备设备由于没有硬盘就不会下发配置的配置,这样就会导致主备手动配置同步后,由于主设备上存在非经的配置,会导致配置对比始终不相同,如果出现此现象,拔掉主设备的U盘重启即可。
HA主备模式下,配置与特征库相关的策略时,需保证主备的规则库相同,否则由于两边特征规则不一致会出现配置不相同的情况,尤其在特征库升级,主机升级完成备机还未升级完成时,包括与应用特征库、IPS特征库、AV特征库、WAF特征库等相关的配置模块。
由于HA同步消息需要依赖于dp内存和HA心跳口的物理带宽,大部分需要同步的消息都是会话同步消息,与具体的流量有关系;不同的流量所需要的带宽大小也不一样,心跳口带宽不够会导致消息不同步,dp内存过高时同样会导致消息不同步, 因此在HA使用中必须保证HA口带宽足够(HA心跳口带宽推荐为现网实际流量大小的3-5倍),否则无法在HA环境下正常运行。
在HA备机重启过程中由于配置较多或CPU繁忙,心跳接口UP后HA主备状态未建立时由于主备接口的IP地址相同,可能会短暂的报地址冲突,HA主备状态建立好之后,恢复正常。
如果在主机升级低于备机的特征库,主备的特征库无法同步主备的特征库无法同步。
这种情况下,将主机升级高于或者等于备机的特征库,主备的特征库版本可以同步一致。
当HA主备机配置抢占模式后,如果主机重启过程中,备机的配置进行了修改,当主机重启后会比对配置文件,如果不一致,主机将不进行抢占。
HA主备环境中,配置同步项在备机上不允许修改配置,配置不同项在备机可以进行修改。
网管配置不支持HA主备配置同步。
WEB页面导入csv格式用户和用户组后,备墙无法实时同步,需要在主墙同步一次配置后,HA状态才会一致。
HA环境下,为了确保在主备切换后业务立即生效,不影响用户使用体验,需要对会话进行同步,对于会话限制功能,由于主备同步会话的过程中存在时延或由于CPU繁忙导致会话同步的消息丢失,出现两台设备会话并不完全一致,因此会话同步到对端设备后会重新进行会话限制策略的匹配查找和计数,以保证会话统计的情况跟真实状态一致。
通过脚本方式创建大量的用户或配置其他策略时,在同步给备机的时候可能会出现同步消息丢失,在大背景流情况下CPU异常繁忙时表现更为突出,此种情况在测试环境下比较容易出现,在用户真实使用场景下出现的概率非常低,当CPU繁忙或脚本创建配置的频率太快时出现主备配置同步丢失属于共性现象,其他任何功能均会出现,当在极端情况下出现此类HA主备配置不相同的情况时,可以通过手动执行配置同步来解决。
问题现象:
· 设备CPU繁忙的情况下执行HA主备同步,备控起来后配置不一致。
· HA状态间歇性显示不一致。
问题原因:
设备CPU繁忙的时候,主机保存配置时概率出现保存错误,在这种状况下传给备机文件对比后,会出现HA状态不一致的情况。等到CPU稳定下来之后,再执行同步配置,备控重启后,主备状态会显示一致。
2、HA模块每10分钟会周期性的进行保存配置并把配置文件传到备机进行配置对比,等到CPU稳定下来之后,HA状态会显示一致。
在线用户页面,通过用户组绑定IP录入的在线用户是不会同步到备机,备机后续可以通过流量触发上线。
问题原因:
HA配置导入同步流程,在主墙导入配置后,配置是按照条目批量写入设备,会有时间差,此时立即删除配置,再次导入,容易造成配置不一致。
解决方法:
(1) 配置不一致后,手动点击HA同步,配置发送给HA备机,备机重启后,HA状态一致(重启过程中不要操作主机)
(2) 导入过程中,不要立即删除配置,待导入配置并同步备机完成后,再进行操作。
HA主主功能开启配置与库同步功能后,业务流量分别经过主控和备控时匹配策略自动加入黑名单的数据不会同步,主控上只会删除主控自动录入的黑名单,备控上自动录入的黑名单无法删除;
出现此情况可以关闭HA主主配置与库同步功能后,再到备控上删除黑名单自动录入的数据;或者在主控进行配置角色切换。
是的,主控上负载均衡出接口和负载均衡策略配置会进行同步,会出现业务走备控下一跳不通的情况;进行负载均衡功能时需要关闭HA主主配置与库同步功能,并将备控出接口修改下一跳配置实现。
HA主主配置同步的组网模型下,以下配置不会同步:
(1) 应用缓存上传的文件不会同步。
(2) SSL VPN在线用户不会同步。
(3) IC卡认证中上传的安装包配置文件不会同步。
(4) 所有IPv4/IPv6路由的配置都不会同步,包括静态路由、策略路由、动态路由(RIP/ISP/OSPF/BGP)。
(5) 网管配置不会同步。
(6) 广告推送策略配置不需要同步,广告对象不会同步。
(7) 设备的主机名称不会同步。
(8) 物理接口的任何配置都不会同步(如:接口的PPPOE/DHCP 配置不会从主控同步到备控)。
(9) 子接口/网桥接口/聚合接口/隧道接口 只同步接口名称,其它的配置(如:描述,IP地址,成员等)不会同步。
(10) 无线接口的配置不会同步。
(11) 隧道接口的名称和隧道模式会同步,隧道接口其它配置不会同步。
(12) 高可用性下的接口状态同步组和接口状态探测不会同步。
(13) NAT64/NAT46不支持HA主主配置同步。
(14) AD域单点登录配置不支持HA主主配置同步。
(15) 旁路部署与接口相关,其配置不支持HA主主配置同步。
(16) 安全设置>ARP/ND攻击防护>ARP/ND学习控制,其配置不支持HA主主配置同步(与接口相关)。
(17) 日志服务器配置不会同步。
是的,特征库的同步方向只能是从HA主控同步到HA备控。HA备控不允许上传特征库文件;当HA主控上,上传比目前版本低的特征库文件时,可以上传成功,且能正常同步到HA备控。
是的。监控口down掉,会触发流量切到另一台设备,但不影响配置同步。如HA主控监控口down掉,其HA监控状态变成“主状态(N)”;同样HA备控的监控口down掉也不会触发主控和备控的切换,此时HA备控的监控状态变成“主状态(N)”,同时HA主控上新增配置仍然能够正常同步到HA备控。
是的。通信口down掉,会触发主-主失联,通信口再次up时,主-主关系恢复,并进行配置比对,如果配置不同,HA监控页面提示主-主配置不相同,需要在配置主设备手动触发配置的全量同步。
是的。主控设备重启,不会触发配置主设备和备控设备的切换,但此时HA备控设备允许进行配置。设备重启后主-主关系恢复,并进行配置比对,如果配置不同,HA监控页面提示配置不相同,可在主控设备手动触发配置的全量同步。
是的。备控设备重启,不会触发配置主设备和备控设备的切换。设备重启后主-主关系恢复,并进行配置比对,如果配置不同,HA监控页面提示配置不相同,可在主控设备手动触发配置的全量同步。
是的,主控上负载均衡出接口和负载均衡策略配置会进行同步,非对称HA主主环境下会出现业务流量经过备控下一跳不通的情况,因为非对称组网情况下,两台设备的下一跳地址是不同的。
解决方法:非对称HA主主环境下进行负载均衡功能时需要关闭HA主主配置与库同步功能,并将备控出接口下一跳修改为正确的地址。
确认设备本身是否有带硬盘,没有硬盘的设备无线非经模块在最新版本上默认不显示。
查看设备上是否有在线认证用户,如果没有在线认证用户(认证用户来源:设备本身开启认证策略、通过Radius监听或者是通过第三方认证服务器发送给设备),则不会产生任何审计日志,因为非经日志上报的都是认证用户产生的数据。
目前特征提取是从格式开始的地方开始提取的,一直到结束为止,目前包含内容的日志都是这种方式处理的,修改涉及范围较大,后续版本统一优化处理。
是的,目前无线非经的功能只是在国内存在,因此在英文管理页面下是不支持也不展示无线非经的相关匹配的。
最新版本上Radius监听功能默认是关闭的,如果需要可在命令行配置模式下执行命令user-radius-listen enable来开启。
(1) 检查无线非经配置策略,场所AP是否都已配置;
(2) 检查测试的应用是否在应用关系对照表中;
(3) 检查场所AP配置是否均已下发(通过命令display wxfj-place-cnt可确认场所AP规格以及下发的场所AP数)。
(1) 确认设备与网监平台服务器是否能互通;
(2) 检查数据上报网监平台的账号密码是否都正确(通过命令display wireless-cert pbo-entry查看);
(3) 确认网监平台提供的账号是否有写入权限;
(4) 排查网络中间是否有配置访问控制阻断策略,阻断其上报数据。
所有数据上报来自同一个AP,原因是认证数据中没有APMAC字段,或者推送过来的APMAC字段与设备配置的APMAC未匹配上,为了数据不丢失,如果认证数据中的APMAC字段与设备上的未匹配上,设备上默认进行终端地址范围匹配,终端地址范围默认是any,所以会出现所有数据都匹配到一个AP上进行上报。
该类问题主要是由于对接文档要求该字段为必填字段,但使用某些应用不一定会进行登录操作或者登录账号加密无法审计,导致无法获取到虚拟身份账号,所以此类就会填上真实身份账号。
AP配置导入格式是csv格式所致,如果一个AP上需要导入多个AP地址范围,可以将多个地址对象添加到一个地址对象组中进行导入来实现效果。
由于获取不到sftp上传失败的信息,因此目前在上传失败后相应的命令查看信息仍能看到相关的统计。
由于非经字段非常多,检查很复杂,有些特殊字段是动态生成或拼接而成,无法实现精确检查,所以不能保证提示信息100%准确,比如当配置导入时检查完所有的行和列确认类型配置没有问题后会记录最后一次检查的行列值作为提示返回,但由于修改的字段,长度拼接后出现超过范围的情况,此时的提示信息会用之前的行列值加上字段错误的信息返回,这样就造成了提示信息中的行列值并不是真正有问题的字段,出现不准确的情况。
1、只支持离线升级,不支持在立刻升级中升级无线非经特征库。
2、只基于版本升级,即非经特征库要基于版本打特征库。
3、升级版本后以版本为准,特征库不生效。
4、多次升级非经特征库,以最后一次升级特征库为准。
因为厂商、场所、AP和应用关系对照表都是每10分钟定期同步至备机,无法实时同步,如果在定期同步的周期内,HA主备设备发生了状态切换,会出现丢配置的情况或者配置异常的情况。
(1) 检查SDK功能是否有授权,SDK需要授权才能正常使用。
(2) 检查SDK功能是否开启:通过命令行rzx gam-audit enable 开启。
(3) 业务接口需要添加到采集口,配置命令:rzxgam-audit interface xxx
(4) 业务接口属性需要配置成内网口,配置外网口会导致该接口的流量无法正常采集。
账号管理员:创建/删除/编辑系统管理员账号以及查看自己的操作日志。
权限分配管理员:为系统管理员分配权限以及查看自己的操作日志。
审核员:可以查看所有管理员的操作日志。
系统管理员:对自己已有权限的模块行进操作。
设备由普通模式切换到三权模式后,不能再切换到普通模式。
账号管理员、权限分配管理员、审核员这三个默认管理员的名称不可以修改、但密码可以修改。
设备由普通模式切换到三权模式后,原来的系统管理员和审计员都成为系统管理员,但权限为空。
切换到三权模式后,CLI的控制权限就被回收了,只有如下命令的权限是放开的"exit",
"end","en","enable","ping","configure terminal","interface","no shutdown","ip address","save","display running-config","display version","display running-config","allow access"
"no admin-switch three-power-mode""debug","log"。
管理员外部认证功能只针对管理员模式生效,三权模式不支持。
外部认证时,只支持选择服务器对象且只能选择一个,不支持同时选择多个,不支持服务器对象组,与系统创建的管理员保持一致。
如果关闭服务器异常开启本地认证后,当设备与外部服务器无法通讯时,管理员将无法登录设备,所以请慎重选择是否需要关闭服务器异常开启本地认证。
如果开启服务器异常开本地认证,当设备与外部服务器无法通讯时,使用设备本地管理员可以登录管理设备。
服务器管理员账号可能没有限制,允许所有的特殊字符,并且账号长度没有显示,因此在登录设备时设备对外部服务器登录账号格式也有校验,故此在外部服务器创建登录账号时要符合设备管理员账号要求。
只有普通模式支持管理员分级分权功能,三权模式为了兼容以前老版本配置,所以不支持分级功能,在三权模式下创建管理员选择自定义角色时不会显示用户组选项。
管理员分级最大支持4个层级,以admin角色为第一层级。
新建编辑管理员时,只有角色选择内置角色(admin、audit)时,不能分配用户组,因为这两个角色可以查看用户组下所有的用户和用户组数据,角色选择自定义角色时,就必须绑定用户组,且不能绑定根组,为了实现不同的管理员只对绑定用户组进行权限管理。
当管理员角色选择内置角色(admin、audit)时,管理员页面列表上创建者和用户组就显示为空;当管理员角色选择自定义角色时,创建者就是当前登录的管理员,用户组就是配置管理员所绑定的用户组。
16个,不支持绑定属性组。
admin角色的管理员可以修改和删除所有管理员,并能操作设备上的所有配置项;audit角色的管理员可以查看所有管理员,只能查看设备上的所有配置项。
自定义角色的管理员只能看到分配给自己的用户及用户组,只有内置角色的管理员可以看到所有的用户、用户组及属性组。
管理员可以给子管理员(孙子管理员、重孙管理员)分配权限和用户组织结构,但是分权的权限和用户组织结构仅限于其已经拥有的权限和用户组织结构。
管理员可以给孙子级或重孙子级管理员分配超过子级管理员的权限或用户组,管理员修改孙子级或重孙子级管理员的配置后,将被修改管理员的创建者为自己,web页面上会有创建者改变的提示信息。
使用内置角色(admin、audit)的管理员登录设备可以看到所有管理员的账号信息,管理员登录设备之后,使用自定义角色的登录员登录设备后只能看到管理员自己、子管理员、孙子管理员、重孙子管理员的信息。
管理员绑定用户组过滤只针对控制策略、审计策略、用户组织结构模块有效,其他模块不进行用户及用户组过滤。
使用新建的管理员登录设备,在配置控制策略和审计策略时,仅能选择当前管理员绑定的用户组下的用户及用户组,any用户只有admin角色的管理员可以选择。
在用户组织结果中创建和移动用户及用户组,只能过滤用户组显示,显示属于这个管理员的用户组织结构,但是无法控制用户及用户组选择的层级,即当前用户/用户组可以选择分配给这个管理员的用户组的上级用户组。
管理员可以看到所有管理员创建的策略,但是只能修改和删除当前管理员自己以及其子级管理员(子管理员、孙子管理员、重孙子管理员)创建的控制策略和审计策略,admin角色的管理员登录设备可以修改删除所有策略。
自定义角色的管理员只能看到当前管理员绑定的用户组下用户以及其子用户产生的日志,主要包括操作日志、控制日志、审计日志三大类,且这三大类日志(操作日志、控制日志、审计日志)导出是导出所有用户产生的日志;其他日志没有区分管理员显示,即所有日志都可以看到;admin和audit角色的管理员可以查看所有用户产生的日志。目前所有管理员登录设备,主页上统计的审计日志条目是所有用户的,没有过滤当前管理员绑定的用户组下的日志。
管理员的父级管理员被删除以后,子级管理员也会全部被删除,对应这些管理员创建的控制策略和审计策略的创建者将全部归属于当前执行删除操作的管理员。
当前登录管理员不能修改自己的角色和用户组,在当前管理员下点击编辑管理员时,角色和用户组会置灰,角色后面的新建按钮也不会生效,用户组后面的选择用户组也不会弹框显示。
管理员可以创建新的角色,但是配置的权限仅限于其自己拥有的权限。
内置的admin管理员无法删除,新建的管理员登录之后可以在管理员页面删除自己,删除之后该管理员之前创建的审计策略和控制策略的创建者会置空,管理员自己删除之后会退出到登录页面。
命令行不支持管理员分级分权配置操作,在命令行创建的管理员、审计策略、控制策略、流控策略的创建者都为空。
当审计策略和控制策略的创建者为空时,所有有编辑权限的管理员都可以进行对此类策略进行编辑操作。
对于设备开启管理员外部认证,如果用户名账号在第三方(radius服务器或ldap服务器上),本地不能分配角色,默认指定角色为admin,但是该管理员登录设备不能看到所有管理员也不能创建本地管理员,且不能修改其他管理员创建的策略;如果本地配置了第三方服务器上的账号并分配了角色,使用该账号登录时则使用分配的角色。
子级管理员无权限编辑修改父级管理员创建的审计策略和控制策略,父级管理员可以编辑修改子级管理员创建的审计策略和控制策略,修改之后策略上的创建者不改变,如果修改的策略用户比当前子级管理员绑定的用户组范围要大,当子级管理员编辑该策略时会有对应的提示,必须修改正确的用户之后才能提交成功。
三权模式下,新建的管理员分配了管理员配置权限之后,使用新建的管理员登录设备之后可以创建新的管理员,以前老版本上是只能在account下创建管理员的。
普通模式切换到三权模式,或三权模式切换到普通模式,删除所有切换前的管理员及角色,切换后创建内置角色和管理员账号,所以密码都会恢复到设备初始密码;切换模式前创建的控制策略和审计策略在切换模式后创建者都会置空。
从F6613以下版本升级到F6613及以上版本,普通模式下管理员只有audit和admin角色,升级后正常,且升级策略和控制策略的创建者都会置为admin。
三权模式下,从F6613以下版本升级到F6613及以上版本,只有管理员账号和权限可以恢复,其他信息获取不到无法恢复,所以升级到高版本之后管理员密码会变成初始值,描述字段会丢失,管理IP会变成0.0.0.0/0。
三权模式下管理员会被授权管理员分配权限,升级到高版本之后,高版本上的角色节点有变化时会导致个别分配的权限与之前分配的有些出入(如新版本上新增的页面节点从老版本升级上来是没有勾选上的,还有老版本上主页节点升级上来之后有变化,之前勾选的升级之后没有勾选)
首页模块分级分权链接跳转需要依赖其被跳转链接所属模块权限,例如:查看首页审计日志详情,该日志属于数据中心模块,角色需要分配主页和数据中心权限,才可有权限查看。违规用户数依赖控制策略里的应用控制阻断和URL过滤阻断、防共享和限额策略,需要分配主页、控制策略、防共享和限额策略的模块。流量分析模块依赖流量控制策略。
页面右上角的按钮不属于分级分权,所以不控制。
首页上的设置按钮只是查看页面模块的布局,分级分权不控制。
上传热补丁数量限制为5个,上传第6个的时候会给出相应报错提示。
为了保证补丁操作进程堆栈安全,补丁的操作时间间隔为30S。
热补丁升级版本,会将当前版本上所有的补丁文件删除,当前补丁不卸载,当设备重启后,加载新升级的版本。
在主机上操作热补丁会同步到备机上,例如:在主机上传、加载、卸载和删除热补丁操作均会同步到备机上。
告警事件的全局开关就是“启用事件告警”,取消勾选后整个功能处于关闭状态。
会话警告阈值规格是按照设备的会话规格统计的,例如设备会话限制30W,会话警告阈值就最大值就是30W条。
一般情况下,用户密码是指发送地址的邮箱登录密码,但是因为部分邮箱设置了第三方授权登录码的,密码这块就需要填写授权码。
首先检查是否配置DNS,确认与邮箱服务器正常连接后,可以点击测试邮箱有效性,如果收到邮件证明配置填写无误,如果未收到邮件,则是配置填写有错误。
重置会回到前一次的配置,并不是清空配置。
不会,只有在设备主页系统状态页面会弹窗告警。
记录到1W条日志时,会删除最初的1000条。
仅Web页面可配置的告警项(CPU告警、内存告警、硬盘告警、会话告警、整机流量告警、负载均衡出接口告警、电源告警)触发事件恢复后会产生相关的恢复告警。
比如CPU利用率超过80%且持续时长为1分钟,CPU利用率降下来之后,会弹出如下告警:
“CPU利用率恢复正常,恢复到阈值80%一下。”
LDAP服务器上的用户登录失败,需等5分钟才会有告警日志,且5分钟之内该用户不能有登录成功的记录。
是的,目前针对一些可能会影响业务的情况,只要启用事件告警就会记录告警日志,具体包括设备重启、接口up/down以及HA切换等。
不支持。告警日志仅支持系统的默认语言(中文)。
这个是由于发送到qq邮箱的邮件较多时,QQ邮箱服务器会认为是垃圾邮件不接收给打回,导致邮箱收不到告警邮件,出现此问题时可通过开启debug smtp-client查看到如下debug信息进行确认:
554 DT:SPM 163 smtp5,D9GowABXb3Mszp1cV60HAA--.10S2 1553845804,please see http://mail.163.com/help/help_spam_16.htm?ip=220.249.52.178&hostid=smtp5&time=1553845804。
弹框提醒不受告警配置中授权提醒勾选框控制。
授权提醒勾选框,只控制授权提醒的邮件以及告警日志产生与否。
授权提醒,只会在每天9点把授权提醒告警信息发送给邮件,再通过邮件方式发送给指定邮箱,告警日志也只会在每天9点产生。
今日不再提醒配置,其只控制弹框信息,不会控制邮件或者告警日志。
由于BusyBox的限制,Ping命令无法同时使用-vrf和-a。
VRF不支持ipv6,ping6不支持VRF。
不支持,Traceroute中-s的地址不能是vrf接口下地址。
Traceroute探测方式使用UDP协议,通过命令行可以指定端口进行探测。
上网故障检测中源IP/目的IP按照会话的源IP/目的IP进行检测,所以存在过滤源IP,实际显示目的IP的现象。
勾选流控模块直通时,流量直接不走流控模块,不再存在流控放通行为的丢包标记。
控制ARP/ND学习时,上网故障检测显示IP-MAC绑定;另外控制ARP学习时目的IP为本地的arp不会丢包所以无丢包显示。
上网故障检测不支持以下模块的丢包检测:
· 不支持代理丢包检测
· 不支持插件丢包检测
· 不支持IPsec VPN丢包检测
· 不支持SSL VPN丢包检测
· 不支持GRE丢包检测
特征库升级结果中出现“特征库加载失败”,此时是由于内存碎片太多或者剩余可用的内存太少导致,目前已经做了优化,建议在特征库升级时配置自动升级,升级时间配置为流量较小的时间点,例如凌晨零点到两点之间。
为避免升级服务器压力过大,特征库立即升级和自动升级的间隔需要大于12分钟。如果频繁点击“立即升级”,会提示“另外一个升级过程正在进行”。
手动上传特征库升级不受影响。
特征库通过代理方式升级时,目前支持的免费代理服务器软件推荐WProxy代理服务器软件。
属于断点续传的有服务器不可达/服务器down/vtysh超时退出(这种情况下,属于断点下载范围。当设备版本下载过程中断掉后,再次开始后从上一次的进度处开始下载)。下载过程中,用户主动断掉(ctrl+c,这种情况不属于断点下载,需要重头开始下载)。
2G及以下内存的设备,抓取的报文文件最大为20M;2G以上内存的设备,抓取的报文文件最大为50M。当用户抓包的报文文件达到最大值或者抓包时间为300s时,系统自动停止抓包,也可以手动停止抓包。
抓取新建会话:新的五元组信息产生的新的流。当高级选项抓取新建会话为2时,指的是一条新建流的前两个包。
是的,抓包功能是基于软件层面的,接口加入到聚合口后,在软件逻辑上来说不在是独立运行的接口了,因此在抓包时需要选择聚合口来抓取相关的报文。
二者控件的差异化所致,默认抓包界面看到的接口选择,因为是单条使用的是系统自带的select控件,该风格和浏览器进行的适配;点击抓取出口报文后,接口因支持多选,使用了JS插外置插件,风格由其主题控制,因此二者无法做到统一。
抓包后报文先写内存中,手动停止后,文件还没写完,时间或报文大小显示0。等报文缓存完成后,显示正确的报文大小和时间。
非Cavium 硬件产生的异常信息文件超过200M后无法压缩成gz格式,会造成堆栈文件过大,系统升级版本空间不足,无法正常升级。
解决方法如下:
登录设备Web管理界面,进入“系统管理>系统维护>信息收集>异常信息导出”,手动删除不需要的异常信息文件,释放空间后,可正常升级系统版本。
· 问题原因:
SNMPv1支持的GET和GETNEXT消息,每次只能返回一条oid数据,效率低。
SNMPv2c引入GETBULK消息,每次能返回多条oid数据,通过max-repetitions参数指定同一请求可以返回的数据条数,提高数据获取效率。
攻击者可以通过调大max-repetitions参数,并通过反射机制使得设备将大量GETBULK响应报文发到第三方主机,如果控制的网络设备很多,且主机开启了snmp功能,就可能形成DDOS攻击。
· 规避方案:
(1) 如果第三方主机不需要SNMP功能,可以关闭。
(2) 改默认团体字为复杂性字符,可以进行规避。
(3) 修改SNMP模块源码,针对GETBULK的响应报文的数据条目数进行限制,会影响SNMP同步模块的效率(比如SNMP用户同步就使用了GETBULK获取终端MAC数据)该问题不建议修改。
· 问题现象:
漏洞1:远端DNS服务允许递归查询;
漏洞2:伪来源IP地址的DNS远程攻击漏洞(CVE-2006-0987)。
· 规避方案:
(1) 配置接口属性为外网口,对外网来的DNS不做解析
(2) 关闭DNS服务器功能。
管理员分级分权只支持页面配置,不支持命令行和API接口,因此使用只读权限的账号通过API接口下发配置可以成功。
用户源MAC获取方式因组网环境不同会有差异:
二层组网:直接获取报文中的用户源MAC,显示到日志中。
三层组网:不开启SNMP跨三层MAC学习功能的话,也是直接获取报文中的用户源MAC,显示到日志中。如果开启SNMP跨三层MAC学习功能,先取报文中的源MAC同交换机列表中的MAC进行比对,如果匹配到,则到该交换机列表中获取真实的源MAC显示到日志中,如果没匹配到则显示报文中的源MAC。
伪portal抑制使用的是refresh脚本方式进行重定向,客户端收到重定向报文后需要解析脚本成功后才能访问Portal页面,与302重定向不一样,因为一般的软件不会解析脚本,所以就不会发起访问Portal的请求,在一定程度上就减轻了无效的访问对设备造成的压力。
不能排除部分软件可以识别refresh。这个功能是能在趋势上减少请求量,不能保证所有软件都会起作用。
refresh重定向不一定能有效抑制所有的软件,只是说会减少一部分不会识别的refresh脚本的软件。
支持
