- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath A3200-I工控监测与审计系统
用户FAQ
Copyright © 2023新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
为什么管理员用户不能通过HTTP、SSH、或者Telnet登录设备,不显示web页面?
在“系统管理>管理员”,“添加管理员”页面中的"管理IP/掩码"的作用是什么?
修改https的端口后使用https的方式登录界面,再使用http方式登录失败?
手动升级相同的特征库日志和自动升级相同特征库日志记录不一致?
同一浏览器使用http和https两种方式打开管理页面进行配置,http页面无法登录?
使用同一主机下登录了一个管理员时,再打开一个管理页面输入另一个管理员密码使之超过最大登录尝试次数,原先正常登录的管理员也会被限制?
设置多个管理员,同时登录两个管理员时,若退出其中一个,另一个也会退出?
管理设定中的页面超时时间提交后不能立即生效,需要清理浏览器缓存才能生效?
RESTful API接口开关对地址对象中any地址对象的引用说明?
当设备重启、注销或重新打开Web管理页面时,锁定会话会保留吗
接口状态页面上有接收或发送速率的信息,但健康统计页面整机转发流量无数据?
设备健康统计页面,整机转发流量只能看到上行或者下行的流量信息?
为什么在同一时刻,监控统计中的会话统计与设备健康统计中的会话统计存在误差?
设备健康统计的数据存在哪?多久存一次?什么情况下会丢?异常情况下的自我保护功能怎么样? 例如CPU繁忙、内存繁忙、异常断电、进程挂死等。
会话监控页面上用户/用户组列有些显示具体的用户及用户组,有些显示为空?
统计集统计最近1小时、最近1天、最近1周数据统计的刷新间隔是多少?
新建报表任务时报表格式有些设备只显示html格式,有些显示pdf和html两种格式?
统计报表开启数据统计,在日志量较大时cpu0会周期性出现使用率较高?
报表任务已引用的时间对象修改后,报表还会使用修改前的对象配置。
修改系统时间小于当前时间后,导出今天的审计日志实际导出来的是其它日期的日志?
命令行开启控制应用策略匹配,只配置全通策略,不配置应用过滤,控制策略匹配不到
当设备内存使用率较高时,下发控制策略会出现设备cpu100的现象?
配置了*.baidu.com的自定义URL阻断,为什么无法阻断www.baidu.com.cn网站?
模糊匹配时后缀需要全匹配,且通配符只有在最前面才生效,例如:*.baidu.com,只能匹配www.baidu.com或者new.baidu.com,不能匹配www.baidu.com.cn。
如果自定义URL包含预定义组中的域名但是并未对它进行引用,对预定义中包含该URL的分类进行DNS阻断,是否会阻断?
配置了应用白名单后,为什么在出口抓包,可以抓取到非此应用的报文?
QQ发送文件,为什么有时候显示有阻断日志,但是现象却是发送出去了?
在应用对象自定义应用中添加一个域名为www.baidu.com的应用,并将应用类选择为搜索引擎类,此时在控制策略中基于WEB搜索引擎关键字过滤时,百度搜索关键字不生效。
配置的虚拟账号阻断,应用控制放行 qq登录阻断前后会有一条放行的日志?
设备在大流量场景下,通过http协议下载文件,概率性出现文件类型过滤不生效
配置的定时推送功能,推送时间已过的情况下,新上线用户还会推送么?
配置的定时推送功能,推送时间已过,为什么没有推送出公告页面?
为什么配置基于多终端的控制策略,内网多终端用户却没有匹配控制策略?
与DDI设备联动针对终端类型进行控制时,终端型号支持显示的长度是多少?
与DDI设备联动针对终端类型进行控制时,设备重启,同步的终端类型是否会丢失?
与DDI设备联动针对终端类型进行控制时,终端类型是否支持修改?
DDI设备同步过来的终端型号是空格,为什么设备上显示为下划线?
策略分析过程中再新增或删除控制策略,策略分析结果会随新增或删除的控制策略变化吗?
HA主备环境下,策略分析在主设备上进行分析,备机会同步进行分析吗?
设备上控制策略条目配置较多,通过策略分析后,策略分析结果上问题策略数不相同,但是百分比会显示一样?
邮件日志中为何有的邮件日志对应的是下载按钮,有的邮件日志对应是查看按钮?
审计日志导出后打开term_supplier和term_platform两列内容为空?
分别用不同操作系统(IOS版和Andriod版)终端使用pc开启的wifi进行无线上网,然后登录QQ客户端,在设备的IM聊天软件日志里都识别为Iphone IOS 版?
Web mail邮件附件为txt文件的审计,日志页面显示的正确的名称及txt后缀,但下载下来后文件后缀怎么是.tar的压缩文件?
审计日志显示有6000多万条,而页面只能显示出86条,其余都是空白,而导出只有64条且提示信息中不显示导出日志的截止时间?
设备开启https解密后,电脑必须要安装设备上导出的证书吗?
为什么安装证书以后,chrome浏览器访问12306网站显示非安全连接?
开启解密策略,手机安装证书后仍然一直提示不安全,点击继续后仍然会一直弹安全告警?
同一目的IP的不同域名的HTTPS流量,只要有一个域名在HTTPS对象中且解析了域名IP,另一个域名的HTTPS流量在没有建立HTTPS对象的情况下仍然可以进入解密流程。
当新创建的广告对象与之前的广告对象重名时,新创建的广告对象中已经上传的图片被删除?
配置两条会话限制,引用的地址对象分别都包含了某个IP地址,但是会话限制的配置不同,那么该以哪一个为标准?
在配置会话限制之前,地址对象的会话总数已经超过了该会话限制的会话总数,那么配置该条会话限制后是否会将会话数保持在限制的数目下?
在全局白名单中使用ip地址进行搜索时为什么没在配置ip地址范围内的ip也会搜索出来?
向地址列表中添加业务不支持的IP地址时,为什么在提交后才有提示?
应用智能识别是什么功能,是否能保证迅雷应用和P2P应用的100%识别?
编辑公告页面时,无法提交成功,提示页面超过2M,如何删除导入的图片、文件?
控制策略里引用的IPS模板会丢失。IPS模板的最大规格是多少
在大流量场景下,配置IPS日志聚合,日志中报文长度和配置的长度不一致
修改入侵检测日志告警规则,修改匹配频率大小后生成的第一条命中纪录,日志数量与实际数量会产生差别吗?
病毒防护,对于filezilla等这种支持断点续传的ftp无法阻断?
WEB防护中的CC攻击防护在修改防护范围的时候访问次数会变成默认值
精确访问控制规则的匹配顺序是什么,一条精确访问控制规则内多个条件的关系是什么
Web防护精确访问控制的正则表达式配置正确,为什么设备提示语法错误?
user-group有限制但是依然可以使用受限制的特殊字符。比如:!¥。。。。。?
在用户组织结构根目录下,选择“用户>所有页”执行批量编辑操作后,为什么其它组下的用户状态修改不成功?
使用LDAP用户认证通过后,在服务器删除认证用户并在设备上同步该OU?
使用AD域用户认证,修改Ad域上密码后,认证使用旧密码还可以认证?
新增的IP/MAC条目设备不能及时学习到该IP的数据如何处理?
在认证页面用户主动注销之后,在原来认证界面重新使用别的用户认证登录出现不录入?
radius和ldap认证服务器,点击测试有效性是如何进行测试的?
认证策略临时录入用户命令行clear user-recognition?
本地已存在的用户,如果认证策略中选择录入的组不是该用户存在的用户组,认证后用户会被移动吗
配置Portal Server认证方式的用户录入,当imc配置推送用户组时与设备配置用户录入到用户组哪个优先?
Portal Server快速无感知认证上线的用户无法录入?
配置了认证策略,为什么终端用户访问有的网站无法弹出认证页面?
同一个终端弹出或打开了多个认证页面时,为什么有的验证码不生效?
如果选中的是用户组,那么只要用户组里面的成员没有被排除,都可以通过本地WEB认证上网。
导入新的自定义portal时需要先删除之前导入过的portal吗?
用户使用浏览器A获取短信验证码,在浏览器B上输入手机号和验证码,是否能短信认证成功?
双机主备环境,主设备配置短信认证,备设备是否同步短信认证的配置?
设备配置错误的DNS后再配置正确的DNS,无法进行短信认证?
在设备上配置有用户认证策略,并新建用户将PC的MAC地址绑定,为什么PC仍无法上网并重定向到认证页面?
为什么在浏览器上通过导航网站访问https类型网站时没有弹portal?
浏览器多次访问https页面,会出现弹出认证页面很慢的情况?
访问https类型网站时有的浏览器无法弹出portal认证界面?
认证策略中,导入认证策略与创建的策略的用户有效时间格式不一致?
pppoe未开启更新网关更新dns,第三方pppoe监听用户不上线?
本地用户与第三方录入用户同名时,第三方同名用户上线后,本地用户无法编辑、删除?
城市热点同步用户到设备需要注意什么?设备使用什么端口监听城市热点报文?
同一条策略路由最多支持几个下一跳?同时配置多个下一跳的情况下,如何转发报文?
IPv6中的路由器请求报文作用(Router Solicitation)?
IPv6中的路由器通告报文作用(Router Advertisement)?
邻居请求(Neighbor Solicitation)报文作用?
邻居通告(Neighbor Advertisement)报文作用?
在Tunnel接口上配置了相关的参数后(例如隧道的起点、终点地址和隧道模式)仍未处于up状态?
从设备端执行什么配置去主动ping另一台设备的IPv6地址?
设备上配置了域名白名单,设备ping域名后,使用display user-policy whitelist显示无内容
配置IPv6路由通告自治标志自动分配无状态IPv6地址功能, 终端无法获取IPv6地址
OSPF没有路由,甚至邻居都不能形成Full关系,最常见的原因是什么?
当执行no router ospf6后,其它接口有关OSPFv3配置是否自动删除?
客户端A没有配置设备为DNS代理,客户端B配置设备为DNS代理,客户端A发出经过设备的DNS请求,之后客户端B也发出相同域名的DNS请求,设备在对B的请求处理过程是怎样的?
配置了DNS v4 server,未配置v6 server 为什么会处理v6的DNS请求?
配置了DNS v6 server,也配置了域名对应的v6地址,为什么ping域名没有收到应答?
域名管理中,同一个域名支持IPv4和IPv6双栈地址配置吗?
服务质量管理条目“最后一次成功率”和“最后一次延时”在建立前的时间也有数据显示?
为什么debug service-quality不显示dns类型的服务质量管理条目发送的探测报文?
使用设备上的抓包工具是否能够抓取到监控接口镜像过来的业务报文
是否可以配置将万兆口流量镜像到千兆口或千兆口流量镜像到百兆口
普通模式切换到三权模式后,原来的系统管理员、审计员账号还可以登录吗?
在使用ftp方式导出配置文件时为什么配置了服务器地址和文件名称后面还提示输入服务器地址?
新建编辑管理员时,选择不同的角色有时会显示用户组选项,有时不会该选项?
管理员可以给孙子级或重孙子级管理员分配超过子级管理员的权限或者用户组吗?
使用新建的管理员登录设备,管理员配置控制策略和审计策略时,用户可以选择any吗?
管理员绑定用户组之后使用该管理员登录设备,在该用户组下创建的用户及用户组可以移动到其他组下去吗?
管理员开启外部认证,使用外部管理员登录设备时分配的权限是什么?
管理员权限的角色配置首页权限,管理员引用角色登录首页后点击页面链接无法跳转
管理员分级分权是否可以控制页面右上角的保存配置、锁定、管理员密码修改权限
自定义角色的普通管理员可以在流控通道内配置匹配不属于所在组的其他用户或组吗?
管理员认证方式为外部认证时,如何对外部管理员进行流控策略的分级分权?
父级管理员被删除时,对应的子级管理员和子管理员创建的通道是否会被删除?
告警功能里的邮件配置第一个配置QQ邮箱时,会出现收不到告警邮件?
已去勾选授权提醒勾选框,为什么登录的时候还是出现授权提醒弹框?
HA主备场景下执行手动同步配置,备设备重启完成后,主设备HA监控仍显示配置不同?
主机下存有大量的会话时,主机执行清除会话操作,备机不会同步清除会话?
HA主备场景下,备机特征库比主机版本高,主备的特征库是否可以同步?
配置抢占模式后,如果主机重启过程中,备机配置进行了修改,主机重启后是否进行抢占?
安全域内网桥的接口跨三层互访控制或审计时,是否需要将相应网桥的BVI接口加入到安全域内?
设备能够工作在三种模式下:路由模式、透明模式和旁路模式。如果设备以第三层对外连接(接口具有IP 地址),则认为设备工作在路由模式下;若设备通过第二层对外连接(接口无IP地址),则设备工作在透明模式下;若设备在完全不影响原网络运行的情况下部署,则设备工作在旁路模式下。
当设备位于内部网络和外部网络之间时,需要将设备与内部网络、外部网络区域相连的接口分别配置成不同网段的IP地址,重新规划原有的网络拓扑,此时相当于一台路由器。也就是说,路由模式设备连接两个不同的子网。
如出现该情况可检查路由表,执行display ip route命令查看路由表中是否存在外网路由,如路由表正常,查看设备安全策略,在设备中默认安全策略为deny,需要手工设定放行条目,执行display running-config policy命令查看设备安全策略。
透明模式设备进行工作时,可以避免改变拓扑结构造成的麻烦,此时设备对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到设备的存在。
检查物理接口是否划入到了bvi接口中,display running-config interface查看当前接口下信息。
在透明模式下,设备将流过的所有二层数据进行解封装,把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是,设备会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发,而不改变数据帧的源地址和目的地址。
透明模式设备一般使用在原网络拓扑在已经完善的情况下增添设备。配置透明模式设备,设备相当于二层设备。可以将设备的多个接口连接到相同子网。可以在不更改其它设备的路由网关对网络进行保护。减少工作量。
旁路模式在不更改原网络部署环境的前提下使用。旁路模式设备将通过的流量进行监听、审计等作用。
旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备连接上设备即可。
查看旁路模式设备审计日志时无相应显示,该情况可查看策略配置,执行display running-config policy命令于查看设备的部署策略。
设备具有很好的保护网络安全的效果。入侵者必须首先穿越设备的安全防线,才能接触目标计算机。用户可以将设备配置多种策略,如控制端口、协议、应用等。
设备默认存在一条全拒绝的控制策略,使用设备时应先注意安全策略是否匹配。
此功能主要为了实现设备快速部署于网络中,支持网关模式、网桥模式和旁路模式。
配置向导为了支持从老版本升级,不自动弹配置向导页面,会判断已保存的配置文件是否包含路由、桥接口或者部署模式配置,如果有,则不会自动弹配置向导功能。
确认登录的接口是否允许通过这些方式登录,可以在每个接口下进行具体配置,详细配置请参见命令行配置指导或者Web配置指导。
查看接口下是否配置了HTTPS访问控制,查看是否开启了管理员证书认证功能但并没有对应的证书。
可在"管理IP/掩码"输入框中以"IP/掩码"的形式设置用户主机的IP和掩码,用户登录时,如果用户名、密码正确,并且用户的主机地址与其设置的任意一组IP和掩码与运算的值相等,就可以成功登录。如果用户没有设置"管理IP/掩码"或任意一组"管理IP/掩码"设置为"0.0.0.0/0",则登录时不会判断用户的主机地址,只要用户名、密码正确既可成功登录。
在“系统管理>管理员”页面中,点击某管理员的<编辑>按钮,进入“修改管理员”页面,即可修改该管理员的密码。也可以点击页面上方右侧的“修改密码”图标,进入“修改密码”页面,即可修改当前登录用户的密码。
断电或reboot重启设备,按ctrl+c进入menuboot,当出现“Please input your choice[0-8]:”时,输入’4’,执行Reset administrator passowrd并输入’0’重启设备,重启后,密码即可恢复为默认的admin/admin登录。
结合管理员登录账号和Ukey证书双重身份的认证方式。
USBKey目前仅支持epass一个厂商。
在管理员双因子认证功能已正常开启的情况下,如果设备CA证书发生变更,需要先关闭管理员双因子认证功能然后再次开启,以便重新关联新的CA根证书。
谷歌浏览器提示“此网站无法提供安全连接”时无法唤醒ukey认证页面?
谷歌Chrome浏览器不支持通过USBkey输入pin码登录到设备https的web页面,即Chrome浏览器不支持管理员双因子认证功能。
IE浏览器因对证书安全检验级别较高,不受信任的证书网站浏览器会禁止用户继续访问,导致无法通过https访问设备。
火狐浏览器需要做兼容性设置,否则无法调用Ukey中的证书。
该问题主要原因是由于用户会话的加密导致,原因为:
(1) 首次打开一个登录窗口使用https方式进行登录,此时会话ID的Secure属性为true,登录成功然后点击退出登录,退出登录后此时页面跳出登录页面,此时登录方式依然为https方式,在这种情况下会话ID的Secure属性依然是true。
(2) 通过浏览器重新打开一个新窗口,采用http方式进行登录,由于未关闭当前会话,所以即使换一个新窗口会话ID依然是加密状态,导致加密session后台无法识别,所以认证失败。
由于用户登录验证是通过会话ID,验证码也是通过session机制进行的校验,所以造成登录失败。
特征库的版本号有固定规范不能随意修改添加,但考虑一些特殊局点,需要特殊的特征库,故提供的特征库版本号一致。这种特殊的特征库都采用手动升级的方式,所以手动升级不检测版本号,以手动导入的为准。
NTP时间服务器支持IPv4及IPv6地址,域名只支持IPv4的域名,不支持IPv6域名。
是的,因为安全红线要求,在使用HTTPS访问时将浏览器的会话COOKIE设置了Secure属性,
若此时更换访问方式为HTTP,由于还是同一个会话,COOKIE是不变化的,同时Secure属性仅支持HTTPS访问的设置,HTTP访问无法读取已设置 Secure的COOKIE,从而导致登录失败。
处理方法:
(1) 清空浏览器缓存后,刷新页面或关闭浏览器重新打开;
(2) 使用其它浏览器访问。
是的,管理员登录失败阻断是基于IP的,因此原来的管理员也是会被限制的,需要等超过阻断的时间后才能正常登录。
是的,此情况只有在使用同一浏览器登录同一设备时存在,若使用两个不同的浏览器或登录不同的管理设备,在其中一个点击退出时,另一个是不会退出的,因为同一浏览器登录同一设备是使用同一个会话id标记的,因此会存在此现象。
是的,使用管理员登录设备,然后修改管理设定中的页面超时时间,提交后未立即生效,管理员没有即时退出,需要清理浏览器缓存才能生效。
设备在开启实时保存后,每次进行配置的时候都会执行配置保存,非常消耗设备资源,因此不建议开启,由于开启后频繁快速操作或者配合HA使用时可能存在以下现象:
(1) SNMP用户同步过程中,连续生成2次录入用户任务,第一次的用户录入大概率无法同步到备设备;
(2) 控制策略引用一条空的url对象,然后在url对象页面添加内容,概率出现引用关系消失;
(3) 在自动保存配置的过程中,同时删除多个用户,提示信息有误等问题。
这些问题原因都是因为开启了实时保存,设备在执行保存的操作同时又对设备做修改导致的问题。规避手段:如果开启了实时保存,需要在每次执行完配置后等待1-2分钟,设备完全保存好配置后在进行相关的操作。
修改系统时间后,每个管理员的密码到期时间会随之更新。将扣除已经生效的时间,剩余时间不变。
如:设置管理员密码周期为30天,在2020年3月1日新建管理员A,即管理员A的原始到期时间是2020年3月31日;如果在2020年3月7日将系统时间修改为2020年1月1日,此时管理员A已经的有效期已经生效6天,因此管理员A的到期时间更新为2020年1月25日。
默认配置RESTful API开关为开的状态,默认引用地址对象为any,是假引用;此时地址对象中any被引用的计数为0,任何路由可达的终端都能够访问设备的RESTful API接口。
在Web管理页面,进入“系统管理>管理设定”,不更改任何配置直接单击“提交”按钮,此时默认引用的地址对象any会被真正被引用;地址对象中的地址对象any此时的引用计数为1,任何路由可达的终端可以访问设备的restful API接口(post/get/put/ delete)。
有一定影响,比如主机名称中含有注入字符,页面上获取HA状态时会解析错误,导致页面显示异常;IPMAC绑定中配置含有SQL注入风险字符可以导入,但是在页面无法编辑修改等。
随着网络攻击的多样化,对于js、sql注入攻击经常被市场扫出或提出风险,目前版本对特殊字符配置做了全方面的安全加固,不允许配置敏感字符,考虑到配置兼容性,当前类似SQL注入风险字符的安全校验只在前端页面有检查,后端没有此类检查。因此在Web页面中无法配置,可以通过配置文件导入或命令行进行配置。该问题在多个模块均存在,出现此情况时可以在命令行下进行编辑修改删除,如果出现可以将原带有异常注入字符的配置去掉,然后配置不带异常注入字符的配置即可。
设备页面出现410 Gone显示是为解决文件越权下载安全性问题,通过防盗链机制隐藏真实URL,对下载URL进行加密和唯一性转化以及限制链接的时效性,在10秒内服务器未进行应答返回410 Gone,进而来限制用户获取到URL之后随便手动下载情况,该问题存在的缺陷是如果在设备繁忙时页面也会出现,此显示为正常现象,在不繁忙时重新刷新页面进行操作正常即可。
该功能依赖硬盘,如果没有硬盘的设备,数据不做统计,如果有硬盘的设备,统计全部是以当天的维度,显示当天总的审计日志条数及具体每个审计模块的日志条数。
该功能需要配合流控策略使用,支持2条线路质量分析,统计线路下行带宽数据来分析整体线路质量。
首页的在线用户中只统计认证用户和匿名用户,点击在线用户可跳转到在线用户页面。
首页的系统日志只报级别是警告及以上的最近20条日志。
首页的审计日志统计各日志当天的记录,并可以点击每一类日志进行详细日志查看。
策略违规展示的是应用控制日志中阻断用户。
流量分析显示并统计当前流控策略的线路,默认统计前两条流控策略的线路;线路值只统计线路下行带宽,每10s刷新一次。
具体的评分标准是:
· 单条线路
线路优=80:使用带宽占比低于50%;
线路良=60:使用带宽占比高于50%,低于60%;
线路中=50;使用带宽占比高于60%,低于80%;
线路差=40;使用带宽占比高于80%。
· 整体评估
整体线路评分值为:线路1评分值*(线路1带宽限速值/(线路1带宽限速值+线路2带宽限速值))+线路2评分值*(线路2带宽限速值/线路1带宽限速值+线路2带宽限速值)
整体线路评级标准:
优:整体线路评分值大于等于80;
良:整体线路评分值大于等于60,小于80;
中:整体线路评分值大于等于50,小于60;
差:整体线路评分值小于50。
举例说明:
· 单条线路:
31.1/40*100%=77.75%,根据评分标准,此线路质量为中。评分标准如下:
线路优=80:使用带宽占比低于50%。
线路良=60:使用带宽占比高于50%,低于60%
线路中=50;使用带宽占比高于60%,低于80%
线路差=40;使用带宽占比高于80%
· 两条线路:
线路123:31.1/40*100%=77.75%,根据评分标准,此线路质量为中,则线路123的评分值为:50。
线路sdf:28.0/40*100%=70%,根据评分标准,此线路质量为中,则线路sdf的评分值为:50。
评分标准如下:
线路优=80:使用带宽占比低于50%。
线路良=60:使用带宽占比高于50%,低于60%
线路中=50;使用带宽占比高于60%,低于80%
线路差=40;使用带宽占比高于80%
整体线路评估:
线路1评分值*(线路1带宽限速值/(线路1带宽限速值+线路2带宽限速值))+线路2评分值*(线路2带宽限速值/线路1带宽限速值+线路2带宽限速值)=50*(40/(40+40))+ 50*(40/(40+40))=50, 根据评分标准,此整体线路质量为中。评分标准如下:
优:大于等于80
良:大于等于60,小于80
中:大于等于50,小于60
差:小于50
不会。当设备重启或者用户注销、清除会话时,被锁定的会话也不存在,不能再进行解锁会话,需要重新登录生成新会话ID进行设备管理。
当浏览器重新打开窗口访问设备的Web页面,会再次生成一个Session Id,如果锁定需要重新执行锁定会话。
设备流量统计收发包的大小实际上是去掉了4字节的CRC校验,所以会小于实际的流速。使用实际的发包大小减去4字节,再计算出来的流速将与设备统计值相等。
整机转发流量统计的为设备的流速,上行即为外网口的发包速率,下行即为内网口的发包速率。当不设置外网口时,上行流速即为0。
设备整机流量统计本地发包和转发,而用户流量统计只统计转发的流量,所以两者的值会有所出入。
设备流量统计的值每隔1小时会把数据保存一次,当设备异常掉电,未能及时保存数据,设备启动后,最多会丢失1小时的数据。
设备流量统计,每次取的时间是绝对时间。更改系统时间,设备流量统计不会随着系统时间的更改而变化。当设备时间为10:00,已经产生近一小时的流量图,把系统时间更改为11:00时,近一小时的流量图依然不变,只是显示的时间有所更改,变为10:00-11:00的流量图。同理当更改为9:00时,设备流量图依然不变,显示的时间变为8:00-9:00。
特殊情况是:当更改完系统时间后马上重启,此时会对设备流量图有所影响。
如上的例子,当设备时间为10:00,更改为11:00后,马上重启,启动后设备流量图10:00-11:00会为0,之前的数据依然保存。当更改为9:00,马上重启,启动后,9:00之前的数据会为空,因为更改时间后,把之前的数据给覆盖了,所以之前的数据都会为空。
接口状态页面显示的接口信息是物理接口的接口信息,不包括子接口、网桥接口、聚合接口的状态信息。
接口统计的数据为接口接收到或转发的流量信息,而整机转发的流量是指结果设备处理的流量信息,如果接口接收到或转发的流量没有经过设备处理,则整机转发流量信息为空。
整机转发流量的上行流量和下行流量,是通过接口的内网口和外网口属性来确定的,通过内网口转发的流量为下行流量,通过外网口转发的流量为上行流量。
接口状态页面的数据,默认自动刷新的时间为30s,也可以手动刷新,刷新时向后台获取一次数据。
(1) 最近1小时,1分钟采集一次。
(2) 最近4小时,5分种采集一次。
(3) 最近1天,10分钟采集一次。
(4) 最近1周,1小时采集一次。
监控统计中会话统计与设备健康统计中会话统计,同一时刻数据存在误差,是由于两个功能采集方式不一致导致,会话监控采集周期是1秒一次,而设备健康统计中最小采集周期是1分钟一次
支持选择时间段查询,必须点击到数据点才可以,如下图:
(1) 最近1小时,不支持选择时间查询;
(2) 近4小时->1小时,只有后三个小时支持选择时间查询,最近一小时不支持,需要切换统计时间查询;
(3) 最近1天->4小时->1小时,只有后20个小时支持选择时间查询,最近4小时不支持,需要切换统计时间查询;
(4) 最近1周->1天->4小时->1小时,只有后6天支持选择时间查询,最近1天不支持,需要切换统计时间查询。
导出功能只能导出最近一周的数据,也可以通过命令(export health statistic info tftp)导出
导出数据中内存会展示三列:全部内存、控制内存、数据内存。
页面默认只展示全部内存数据,可以通过命令(health memory detail info enable|disable)打开及关闭展示控制内存和数据内存。
只有统计时间为最近1小时,才有定时刷新功能,周期为1分钟。
设备运行过程中,设备修改了系统时间,统计数据展示不会根据时间来丢弃原有数据,只有掉电重启后,才会根据修改后时间来展示数据。
如果查看的时间区间不在同一天,以最近4小时(时间范围2018-09-04 22:05—2018-09-05 02:05)为例:在最近4小时页面,点击其中“23:05—00:05”区间,页面显示时间范围图标为:
(1) 流量统计:采集的是平均值。
(2) 会话数:允许和阻断,采集的是瞬时值。
(3) CPU信息:加权平均值,假如采集点是1分钟一个,那1分钟收集12个瞬时值,然后将这12个值进行平均计算。
(4) 内存信息:采集的是瞬时值。
(5) 会话信息:当前会话数和新建会话数,采集的是瞬时值。
(1) 目前统计信息存储在/mnt/目录下,设备启动之后,1分钟保存一下临时数据,15分钟保存到/mnt/目录下。
(2) 正常重启前(比如执行reboot),会将临时数据保存到/mnt目录下;异常情况,比如断掉或者nmi,无法及时将临时数据拷贝到/mnt下。
(3) cpu繁忙会影响数据的记录(定时器得不到调度),只要dplane进程不挂死,就可以正常收集数据,如果dplane控制核挂死,无法记录数据。
会话统计的排名是按照会话连接数的多少进行的排名,默认只显示前50个会话的排名。
原因是当一条流老化后,又重新产生了一条这样的流,此时存在时间就为0秒。在清流过后,立即在web监控页面查看会话监控,容易出现此情况。
如果该会话不在用户识别范围中,则无法获取到对应的用户及用户组,所以会话监控统计页面上用户及用户组显示为空。
因为HA主备环境下不同步匿名用户,备机上有没有相关流量识别匿名用户,所以备机上没有此相关用户,从而不显示。
用户和组显示为空的几个可能原因:
1、匿名用户超过最大限制(在线用户规格)
超过限制之后,设备会踢掉一些在线用户(最早的上线的那个),此时会话仍然存在。
2、会话刚创建还未进行识别
这种情况下的隔一小会儿就会正常识别。
3、会话老化
会话老化的也会主动将用户信息清除。
4、用户注销或老化
5、用户不活跃超过20分钟,系统内部有一个定时器,超过20分钟不活跃的用户也会被清除。
单用户故障检测功能的使用限制和注意事项:
(1) 自定义监测地址不支持https网站。
(2) 如果多个终端使用同一个认证用户上网,终端都会推送测试页面,但只能监测一个终端。
若探测用户名为IP地址,则只针对此IP地址的用户进行单用户检测,不会检测此IP地址的匿名用户。
(3) 谷歌浏览器访问检测地址url:www.ce.cn,第一次访问时弹出检测页面,新建标签页再次输入该url时,被浏览器自动识别成https,导致检测页面无法弹出,此问题为谷歌浏览器导致,其他浏览器无此现象,设备无法控制,访问的时候可采用明确http访问的方式规避此类问题。
安全事件分析包含入侵防御检测日志(不包含自定义规则)、WEB防护日志、防暴力破解日志、网络层攻击日志(只统计扫描攻击防护日志)。
在安全事件分析中呈现的级别是根据该攻击源中产生的最高级别攻击日志展示的。
页面数据每15分钟执行一次新的查询表以及插入最新数据的操作,若浏览器访问安全分析页面后,页面一直没有刷新,此时后台定时器恰好执行读取最新数据并更新表中内容,再点击页面上的数据查询,旧数据可能已被覆盖,会出现概率查询不到的现象。
统计集中最近1小时的刷新间隔是1分钟刷新一次,统计最近1天的刷新监控是10分钟刷新一次、统计最近1周的刷新间隔是60分钟刷新一次。
近1小时流量趋势图中,将鼠标移动到每分钟上,会显示当时的流速即1分钟内流量的平均值;近1天流量趋势图中,将鼠标移动到每整10分钟时,会显示当时的流速即10分钟内流量的平均值;近1周流量趋势图中,将鼠标移动到每整小时时,会显示当时的流速即1小时内流量的平均值。
统计集中用户的类型包括匿名用户(IPv4用户及IPv6用户)、静态绑定用户、本地认证用户及第三方认证用户。
对于不同的系统平台,统计集所显示及统计的用户及应用的规格是不同的,可以通过命令display flow-account specification查看规格。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集右上角有一个刷新按钮,页面不会自动更新,当用户设置统计集按最近一小时、最近一天、最近一周时,后台分别以1分钟、10分钟、60分钟进行更新,此时前台页面需要手动点击<更新>按钮进行刷新页面。
统计集每个应用的总流量为上下数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集暂时不支持HA,即主墙数据不会同步到备墙,当HA主备切换后,备墙开始记录数据。
统计集数据目前不能保存,也不能随配置导出再导入。
饼图默认显示流量最高的10种应用以及其它应用,即Top10+1,其它应用是指应用总流量小于0.8%时,记录到其它应用中。
只统计转发流量,不统计到本地流量。
当页面放大或缩小时,饼图的应用注释会与饼图分享,不建议将页面放大或缩小查看。
统计集支持设备旁路模式,能够将Span镜像出来的数据进行数据统计。
应用统计可以在应用中进行点击,页面跳转到使用该应用的用户页面,用户统计即当前发起流量的IP或实名认证用户,点击该用户,可以具体查看该用户所发起的应用流量。
1G内存设备报表格式只支持html格式,2G及2G内存以上设备报表格式支持pdf和html两种格式。
统计报表模块依赖于设备硬盘,只有在有硬盘的设备上才会显示,没有硬盘的设备上将不会显示统计报表模块功能。
目前的报表统计流程是:
(1) 制作报表
(2) 更新记录(报表占用空间使用率数据更新)
(3) 数据汇聚(从内存中获取会话数、CPU、内存使用率状态信息存入数据库中)
(4) 休眠5分钟
以上4个步骤循环。
有两种情况会影响报表统计的数据不准确:
(1) 设备运行异常、当CPU和内存使用率很高时,可能会导致读取会话数、CPU和内存使用率的数据失败或入库失败导致数据缺失或入库数据不准确。
(2) 当系统繁忙,数据汇聚时间过长时(比如2个小时),会导致这段时间的会话数、CPU和内存使用率数据获取不到(数据汇聚时不会从内存获取会话数、CPU和内存使用率的数据),这样就会导致后续数据汇聚时存在数据缺失。
数据统计报表上汇聚的数据是通过整点进行汇聚,为了提高数据汇聚效率,目前方法是在整点时去记录当前时刻数据库表中最大ID,通过两个整点之间的最大ID之差来获取对应统计的总数;
有两种情况会导致数据统计与真实数据存在误差:
(1) 当报表进程有任务执行时,不能保证整点时刻记录的ID时就是当前这一时刻的,可能存在延后几秒的情况;
(2) 当整点时刻正好有大量数据入库,此时获取整点时刻记录的ID并不一定能保证是最开始的那个,可能是中间某一个ID。
主要是由于采样以及数据分区划分的原因:
(1) 采样原因:UI上的统计采样是分布均匀的;报表中的采样分布不均匀,报表数据采样时由于需要处理很多数据的汇聚,所以每次采样的间隔时间都不同;
(2) 数据分区:UI上的统计是按照时间进行数据分区,然后每个分区取均值;统计报表数据是根据采样数据的记录条数来分区的,每个分区数据量=采样数据总数/分区数,这样计算出来的分区数据无法跟显示时间对应,所有造成UI统计显示与报表统计显示不一致。
是的,报表开启数据统计,在数据量较大时,报表的汇聚是会占用cpu资源的,报表汇聚目前进行了保护,如果cpu超过85或内存超过90时会等待30秒,如果30秒后cpu以及内存降下来了,再开始汇聚,因此会出现描述现象。
是的,点击手工同步会同步报表管理中的配置,不会同步历史报表中的文件,同时HA监控中的系统配置会显示两端配置一样,不会对比历史报表是否一致。
为节省设备资源,统计报表的数据统计功能默认是关闭的,需要在设备的“数据中心>统计报表>配置管理”中开启报表的数据采集功能,数据统计才会开始汇聚统计。
报表中的CPU利用率统计和UI上的统计不符主要是由于采样以及数据分区划分的不一样。
· 采样原因:UI上的统计采样是分布均匀的;报表中的采样分布不均匀,报表数据采样时由于需要处理很多数据的汇聚,所以每次采样的间隔时间都不同;
· 数据分区:UI上的统计是按照时间进行数据分区,然后每个分区取均值;统计报表数据是根据采样数据的记录条数来分区的,每个分区数据量=采样数据总数/分区数,这样计算出来的分区数据无法跟显示时间对应,所以造成UI统计显示与报表统计显示不一致。
报表配置(单次报表、日报表、周报表、月报表)中保存的是时间对象名称,当报表开始制作时,会根据时间对象取出对应的时间范围来获取数据,由于从开始制作报表到报表制作完毕需要持续一段时间,且用户无法感知到,因此在此期间修改的时间对象的时间范围不会应用到已经开始制作报表的任务上,因为已经取过时间范围了所以不生效。新修改的时间范围会在下个报表制作时应用。
不能,会按照操作时间顺序导出日志。
包括访问网站日志、IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志、其它应用日志。
不支持,比如邮件日志里的内容和附件就不支持导出。
只支持带硬盘可以访问审计日志页面的设备才具备日志导出功能。
日志导出功能有规格限制,日志量较大时使用受限,日志导出支持基于时间范围导出,时间范围设置最多为14天,日志导出规格为10W条,超过10W条时,提示导出日志的结束时间,可将此结束时间配置为开始时间继续导出后面的日志。
当导出日志中某一天无日志记录时不生成该日期的空内容导出文件。
导出今天的日志系统只做了起始时间的判断,没做终止时间的限制,如果人为修改了系统时间,就会导出比当天时间大的日志。影响很小,基本不影响现网环境使用,只要保证系统时间是对的就行,对于设备来说,当天只要下一个起始时间就能导出正确的日志来。
日志导出的时候,导出的是最老的十万条(如导出当天的日志,从零点开始导出日志)。
例如:应用控制日志有1245100条,按照默认条件导出的话从零点开始导出日志;如果过滤时间为:12:00-17:00,日志导出后,初始时间为12:00,截至时间为最后一条日志的时间。
不支持按查询条件导出,审计日志、系统日志、操作日志、网络层安全日志等均不支持基于查询条件导出。
是的,如果文件名称中包含“%”,依据现行通用的实现机制,%会认为是URL 编码,并对%后的两个字符进行URL解码,导致页面中显示的文件名称会和实际文件名称不同。
如果全部的黑名单条目(包含过期条目)小于等于4万条,过期的黑名单可以被人为手动删除,但是不会被自动删除;
如果全部的黑明单条目(包含过期条目)大于4万条,会触发过期条目自动删除机制。每隔5分钟自动删除一次过期条目;
未过期的有效条目永远不会被自动删除,并且只会删除超过4万条的过期的部分,删除的规则为按照黑名单ID从小到大依次删除过期的条目。当删到剩余条目小于4万条的时候停止删除。
配置的时候,按配置的先后顺序显示(先配置的在上面,后配置的在下面)。 但是重启之后,顺序会变,有效的条目排在前面,过期的条目排在后面。
· 保存重启前共计4万条(全过期)的黑名单条目,保存重启后4万条过期的条目还在。(因为没有超过4万条,没有触发自动删除过期黑名单的机制)
· 条目有可能丢失。 所有的非手工/永久的黑名单都不是存在配置文件里面的,而是存在blist-configure文件里面的。存在blist-configure文件里面的条目不受保存命令的作用,而是自己有一套自动保存的机制。这个机制是:每隔5分钟自动保存一次。定时器的启始时间为:设备开机,到黑名单这个进程时候开始,定时器开始启动。配置了黑名单(非永久手工),有可能没有到没5分钟的保存时长,就保存配置重启了,此时重启后,刚才配置的黑名单会丢失。比如:WEB UI 上删除了黑名单,然后保存配置重启设备。重启之后,这些被删除的黑名单记录有可能没有被删除掉。
· save configure 针对是系统配置文件,只有手工/永久的条目会存到 系统配置文件中,所以满规格5万条手工永久的条目保存重启起来加载 会非常慢,速度是一秒30条。5万条的话大概是,最严重的情况下可能在35分钟左右。如果是5万条满规格的手工永久条目,保存重启所花的时间很有可能会超过40分钟。
黑名单域名总长度不能超过63个字符,最后一个.后面的字符不能超过3个:比如:baidu.com是正确的,配置为baidu.com1则会提示错误。
以配置域名为baidu.com、www.baidu.com为例:
· 如配置baidu.com 为黑名单,匹配以baidu.com结尾的域名,如:www.baidu.com / news.baidu.com / haokan.baidu.com/ map.baidu.com 都会无法访问。
· 如配置www.baidu.com 为黑名单,仅匹配 www.baidu.com这个域名,若存在一个abc.www.baidu.com这个样的域名也会匹配。但是 news.baidu.com/map.baidu.com/haokan.baidu.com则不会匹配,可以正常访问。
安全策略复制功能不支持CLI配置,目前只支持在WEB 页面进行复制。
不支持批量复制,一次只能复制一条“控制策略”或“审计策略”。
控制策略匹配是从上向下匹配,源目接口单向匹配,例如报文是从ge0入从ge1出,此时策略只能匹配到源接口为ge0,目的接口为ge1的控制策略。
新建控制策略和子策略后取消,整个控制策略不下发。
当在已存在的控制策略里新建子策略后,点击取消,子策略会一起下发。控制策略和里面的子策略是不同的配置页面,在控制策略里新建子策略提交后,子策略的配置就已经下发成功。
为什么控制策略没有达到满规格,新建控制策略时会提示达到满规格?
在IPv4控制策略页面点击新建,会先创建一个策略id,如果不点击取消按钮,该id会在1分钟之后才被释放,如果设备在一分钟内反复执行“点击新建然后跳转到其它页面”的操作,使策略id分配达到满规格,此时返回到控制策略页面点击新建会提示达到满规格,1分钟之后id释放可正常进行新建操作。
命令行开启了策略过滤应用功能(policy filter application enable),则必须同时配置安全策略和应用过滤策略。没有配置应用过滤策略,则认为没有匹配到安全策略。
是的,目前描述信息参数配置的字符中带有空格时,在字符串最前面和最后面的空格会自动去掉,只有字符串中间的空格进行配置下发,目前很多模块的描述对于空格的下发均是此种处理方式。
当设备dp内存使用90%以上或者有内存碎块时,下发控制策略,由于内存不足会造成策略编译失败,出现设备cpu100的现象。可以通过display memory命令中Flow一行查看dp内存信息。
解决方法如下:
(1) 通过命令行clear ip connection all 清流释放内存;
(2) 重新下发控制策略;
(3) 查看策略状态恢复正常,通过display policy accelerate命令行查看,State列显示为opened说明策略编译成功,状态正常。
自由门软件实现机制比较特殊,提取不到有效的特征,目前暂无法识别和控制。
HTTP协议post方式上传文件时,仅支持标准的上传格式,如果是非标准格式,无法正确缓存上传的文件内容,对后续依赖文件缓存的功能有影响,比如杀毒功能。
(1) 配置自定义URL,无论IPv4策略是否引用,都会对访问的URL按照配置的自定义URL以类的方式识别。如果IPv4策略引用自定义URL,则对引用的对象进行放行或者阻断。
(2) URL匹配配置的自定义URL是支持模糊匹配的,优先精确匹配,匹配不到再进行模糊匹配。例如策略引用了两个自定义URL,名称分别为门户网站和测试网站,门户网站包含URL为“www.sina.com”,测试网站包含URL为“sina.com”,当访问www.sina.com时会优先匹配到“www.sina.com”,URL即属于名称为门户网站的自定义URL,当访问sport.sina.com时,会匹配到“sina.com”,URL即属于分类为测试网站的自定义URL。
URL过滤中,自定义URL的优先级高于预定义URL,
若创建了一个自定义URL又没有将其引用到任何控制策略中,就意味着对这个自定义URL的访问是全放通的。
因为自定义优先级高于预定义的设定,预定义生效,会直接放通而不会阻断。
配置了应用白名单策略,当应用在20个报文内都没有识别,这20个报文会被放行,20个包之后进行阻断。
(1) 如果应用使用的服务器和端口承载了其他应用,会存在误识别成其他应用的可能。
(2) 同一应用存在多种终端,如果配置了基于应用的控制,需要把策略应用树上与该应用相关的应用都选中,避免功能实现和配置逻辑不统一。
(3) DNS报文必须经过设备,否则应用白名单功能无法生效。
(4) 目前只有应用对象中的智能应用支持应用白名单功能,且很多应用存在交集的情况,因此,在配置时,需要首选看一下此应用是否包含于智能应用中,并看一下此智能应用的描述。
HTTP下载针对网页中的图片不做识别,否则会影响网页浏览,且HTTP下载的识别针对特定类型的文件后缀生效:
.bin,.zip,.rar,.gz,.bz2,.tgz,.tbz,.arj,.lzh,.tar,.ace,.uue,.iso,.7z,.txt,.hdr,.doc,.xls,.xlsx,.pcap,.pcapng,.cap,.img,.xz,.csv,.p12,.crt,.data,.exe,.cmd,.bat,.msi,.apk,.dmg,.dll,.jar,.rpm,.ptada,.gpg,.pdf,.ps,.info,.cat,.cfg,.lss,.msg,.odt,.pom,.gem,zip,.mpeg,.mpg,.wma,.wav,.mp3。
QQ发送文件如果是秒传文件那是无法阻断的(秒传文件指之前曾经传输过的文件,或者是从公众网站上下载的一些安装包),之前传输过的文件或公众网站上的一些安装包,腾讯服务器上已经保留了文件的MD5等信息,当再次传输这个文件的时候,腾讯服务器上发现存在相同的MD5文件,这个时候QQ就采用一种特殊的方式,快速的把这个文件传送到接收端,而QQ客户端并没有真实的发送文件,所以就阻止不了,导致看到的现象是对端收到了文件,没有阻断掉。
恶意url白名单是精确匹配。例:被阻断的网站为qq.com,新建恶意URL白名单www.qq.com后还是不能访问,只能是qq.com,才能访问。
邮件控制只支持SMTP客户端发送邮件进行控制,收邮件均不支持控制,网页邮箱等也不支持。
配置好邮件控制后根据发送smtp邮件进行控制,匹配邮件控制顺序为:发件人->收件人->邮件大小->附件个数->邮件主题->邮件内容。
邮件控制中收件人过滤、收件人过滤和标题及内容关键字均只支持选择一个关键字。
关键字匹配规格为发送邮件中的关键字包含配置的自定义关键字才能匹配;反之则不会匹配邮件控制。
邮件控制策略以邮件内容为限制规则,发件人、收件人、主题、内容、附件等限制作为过滤条件。
选择发件人过滤时,筛选邮件内容过滤判定是否可以发送邮件,触发控制策略后邮件将发送失败。
选择收件人过滤时,筛选邮件内容过滤判定是否可以接收邮件,触发控制策略后邮件将收取失败。
pop3收邮件时,直接请求邮件内容进行收取,如果邮件被阻断则直接收取失败。
imap收取邮件时,先请求邮件列表,在点击邮件时再进行邮件内容请求,所以就算邮件被阻断,其实也可以看到邮件主题,但是邮件内容会加载失败。
有些邮箱可以选择开启收件服务器,pop3或imao。有些在创建账号时就可以选择收件服务器,收件服务器一般是与邮箱账号的运营商统一的。比如,腾讯邮箱收件服务器imap.exmail.qq.com和pop.exmail.qq.com。
邮箱平台客户端其实只是邮件传输协议与客户的一个接口,协议的使用还是根据不同的运营商各自的服务器来定的,比如我用Foxmail登录网易邮箱,但是收发件的服务器选择的还是网易的服务器,Foxmail此时只是给用户提供一个操作界面。
可以配合SSL解密策略中的邮箱解密,将加密的邮件进行解密后,可以正常进行审计和控制。所以此时邮件是否可以被控制策略判断是否阻断,取决于邮箱解密功能是否能将邮件进行解密。
网页版邮箱一般默认使用的是http、https协议进行邮件传输,此时无法被阻断,可以在设置中开启pop3和imap的收邮件服务器,就可以被正常过滤阻断了。
不支持,压缩文件上传时不是明文的,无法检测到关键字。
关键字过滤不区分大小写字母,无论配置为大写或小写均可正常检测和过滤。
关键字过滤同一条流只要检查到第一个符合条件的关键字就会停止匹配。
不支持附件内容过滤,只支持基于附件名过滤。
FTP应用暂不支持关键字过滤。
网页内容过滤时,有时关键字在网页中的位置比较靠后,此时检测到关键字后,部分网页内容已经加载成功,所以会出现网页部分加载的情况。
WEB搜索引擎关键字过滤是针对设备预定义应用中已经提取了搜索关键字特征的应用进行过滤操作,虽然百度搜索引擎在预定义搜索引擎中,但是自定义应用中又配置了百度相关的域名,此时应用识别的时候会优先识别自定义应用,从而无法走到预定义百度搜索的识别中去,所以导致百度搜索关键字基于web搜索引擎关键字过滤不生效。
关键字条目规格512和1024条,每个关键字对象里可以配置1024个关键字。
单条控制策略只能引用1个关键字对象。
QQ账号黑白名单关键字控制,关键字匹配为精确匹配。
苹果系统虚拟账户控制不生效,特征加密问题。
虚拟账号控制依赖应用特征库,特征库不识别时无法控制。
移动端(安卓)测试虚拟账号控制时,需要关闭移动网络。
旁路模式qq 阻断不生效。
虚拟账户匹配到白名单,应用控制不产生日志(只有黑名单阻断后才产生日志)。
QQ登录识别报文和获取账号报文不在同一个报文中,前一个报文识别为QQ登录,未获取到QQ账号,命中了应用控制策略报放行日志。后一个报文获取到QQ账号,命中了虚拟账号策略,报阻断日志,此情况属于正常现象。
(1) 文件后缀超过15个字符时,日志记录会截断前15个字符;
(2) 阻断FTP时,本地会创建临时的文件;
(3) 升级特征库,预定义文件类型需要手动点击重置才可以更新;
(4) 真实文件类型识别中:jpg和jpeg无法区分;
(5) 开启真实文件类型过滤后,如果识别到真实文件类型为png,但配置为jpg阻断,文件名称后缀为.jpg,不会实现阻断,开启真实文件类型识别后优先进行真实文件判断;
(6) 默认真实文件类型识别为关闭状态;在Web管理页面,进入“策略配置>对象管理>应用识别模式>应用识别高级配置”,可以开启真实文件类型识别;或者通过命令行file-type ident magic mode enable 开启。
(7) 解密后真实文件类型应用支持: 163邮箱(上传/下载)、QQ邮箱下载、126邮箱(上传/下载)、百度网盘下载、360云盘非真实文件类型上传和真实文件类型下载;
(8) 真实文件识别支持类型包括:avi、mp4、mp3、chm、jpg、jpeg、gif、bmp、tiff、png、dcm、heic、ico、jxr、psd、 zip、rar、gz、7z、docx、pptx、xlsx、pdf、rtf。
(9) 文件类型对象名称匹配不区分大小写,配置ZIP与配置zip阻断效果一样。
(10) 如果使用的FTP连接端口为非标准端口,需要在设备中配置FTP非标准端口,配置后就可以正常控制了,HTTP均是正常可以控制的。
(11) 文件名称包含后缀超过87个字符后会被截取,在截取的前87个字符再进行文件类型识别。
(1) 文件名称是读取get请求中的url中/后的字符,当文件名称为中文时,http访问时,会进行utf-8或者gbk编码,再进行url编码。
(2) 由于设备中文件名称只记录87个字节的长度,如果编码后的文件名称(包括后缀名)超过87个字符,则截取前87个字符进行文件类型识别,截取后的文件名不包括后缀名,则不能识别成功。
如文件名称为:文件类型过滤不匹配问题.zip,编码后为:
%E6%96%87%E4%BB%B6%E7%B1%BB%E5%9E%8B%E8%BF%87%E6%BB%A4%E4%B8%8D%E5%8C%B9%E9%85%8D%E9%97%AE%E9%A2%98.zip
编码后的文件名超过87个字符,被截取后不包括后缀名“zip”,因此无法识别成功。
(1) 某些功能处理时,需要对下载的文件进行内容缓存,比如av等功能;
(2) 系统缓存的内存限制大小为dp内存的八分之一,当超过总大小时,不再缓存文件;
(3) 当过设备的流量很大,并且流量类型集中于http、smtp、pop3及imap该类需要缓存文件的协议时,每个会话都会进行文件缓存,因此会超过设定的内存总大小,导致文件类型过滤不生效。
部分厂商telnet服务,使用TAB补全的关键字不生效,因为不同操作系统或服务器的telnet在实现上有些差别,返回的报文不统一,目前telnet协议关键字过滤支持原生Linux系统和windows 7。
FTP协议过滤命令需要使用报文里的原始命令进行配置。
终端公告正常弹出需要满足以下条件:
· 策略开启终端公告提醒,接口管理方式必须开启http。
· 终端访问http页面,才会触发弹出公告,目前不支持https。
· 终端公告提醒前置条件,终端能正常访问公告页面。
安卓手机后台会偷跑http流量,所以有些时候,打开浏览器没有弹出公告,这个时候需要保证后台运行的其它软件没有触发http流量。
用户若第一次上线(在线用户中没有此用户即为第一次上线),即使定时推送时间已过,也会弹终端公告。
公告页面的推送基于间隔的是间隔时间推送一次,基于定时的是过了此时间点推送一次,推送过后在下次时间点未过之前就不再推送了,虽然目前已有UA过滤,尽量避免非浏览器的推送,但做不到完全过滤掉非浏览器的报文,建议基于时间点的推送如果没有推送出来,可通过注销在线用户再次使用浏览器查看能否正常推送出来,如果能够推送出来那就表示功能正常(注销用户会把其记录的已经推送过的标记清掉)。
首先要看在线用户中此用户的终端类型是否识别为多终端,只有识别成多终端的情况下,才会匹配此控制策略。
终端型号支持长度是1-63字符,超过63字符后会截断显示,目前正式对接中还未出现大于63字符长度的终端类型。
如果重启设备时保存配置,重启不会丢失同步过来的ddi-user,如果没有手动保存配置,会丢失30分钟内同步的ddi-user信息。
目前设备支持的终端类型是版本内置的,暂不支持修改。
由于在命令行配置恢复时空,格隔离开后会识别为是不同关键字,导致配置恢复失败,因此将空格转换为下划线进行显示和配置。
转换方法为:如果前后空格不转换,中间有多个空格时只转换为一个下划线。
此功能默认关闭,可通过命令行或者页面开启。如果未开启此功能,控制策略、审计策略、流量控制策略中的终端配置即使配置后也不会进行匹配,与终端类型配置为any效果一致。
同时此功能只对同步过来的IP地址、终端型号和老化时间关联进行显示和相关策略的匹配,DDI消息报文中的其他字段暂不关注。
微信中收发文字消息被加密,无法识别此加密行为。
基础网络协议日志量太大,为了避免大量刷日志,做了特殊处理,只有在阻断的时候才会产生日志,动作为允许时不发日志。
默认控制策略动作为“允许”时,设备syslog日志支持记录级别为“info”的控制策略日志,所以在设置日志外发级别需要选择“全部级别”,或者“信息”,或者“调试”,远端syslog服务器才能收到日志。
注意:建议不要勾选记录日志。控制策略动作为允许的时候,如果勾选日志并外发,会产生大量外发日志,可能对设备性能有影响。
控制日志数据库中记录文件名称的长度为63个字节,当文件名过长时会被截断显示。
当前网络环境的复杂性,网络服务与网络终端的多样性,相应的设备就需要更多、更复杂的控制策略。这些控制策略经过一段时间的积累,往往会造成老策略不敢删,新策略不断增加,单台设备会积累成千上万的策略,极大降低设备性能和用户体验。
从策略分析的角度,一键分析当前的冲突、冗余、隐藏、合并、过期和空策略,一定程度上解决防火墙管理的难题,使每一条策略都直观可视,让设备更易于使用、便于维护管理。
冲突策略:不区分匹配的前后顺序,若策略A和策略B存在数据流交集(非包含和被包含关系),且AB策略的行为不同,则A和B互为冲突策略。
冗余策略:根据匹配的前后顺序(先匹配A策略再匹配B策略),如果A策略匹配的所有数据流会被B策略包含在里面,删除A策略不会对其余策略产生影响,如果AB策略行为相同,那么A策略会被计算为冗余策略。
隐藏策略:根据匹配的前后顺序(先匹配A策略再匹配B策略),如果B策略匹配的所有数据流会被A策略包含在里面,如果AB策略行为相同,那么B策略会被计算为隐藏策略。
可合并策略:不区分匹配的前后顺序,策略内元组信息只有一项不同(且可合并)的情况下,则认为是可以合并的策略。
空策略:当策略中匹配的任何一个对象为空时,那么该策略会被计算为空策略。
过期策略:发现当前策略中,匹配的时间范围已经不会再次出现的策略。
极宽松、较宽松、正常、准确以引用的源地址、目的地址中包含的实际IP地址数目换算得到,大于65535个IP为极宽松,256-65535为较宽松,32-256为中正常,小于32为准确。
因为过期用户和配置为空的用户组处理方式一样,无法区分,因此被分析为空策略,目前过期策略只支持时间过期。
不会。应用控制相关配置没有加入到即时分析策略里,在分析结果页面也不会显示被分析策略对应的安全信息。
策略分析开始时会以当前的策略总数进行分析,策略分析结果不会随配置增加或减少而变化。
主机上进行策略分析时,备机上不会同步进行分析,且主机上分析结果不会同步给备机。
目前策略分析结果中百分比是问题策略数除以策略总数取整四舍五入所得,所以如果问题策略数相差不多时看到的百分比有可能就显示是一样的。
可以使用命令display running audit poliy查看当前的审计策略。
审计策略的匹配是从上向下匹配,审计策略里面的源目接口和源目地址都是双向匹配。
当日志占用空间超过磁盘容量的90%时就会删除日志,每半小时检查一次,当超过90%时就会执行删除,未超过90%时则不进行删除,每次删除最早1天的日志,同时对于邮件、邮件附件、网盘文件这种留存的原始文件进行文件个数限制,每天限制最多10万个(邮件、邮件附件、网盘存储的文件个数共用同一个10万的规格),对于日志没有条数限制,即当此类日志超过10万时还会记录相关日志信息,但是无法下载原始文件。
日志查询结果按天显示,如果某一天没有所要查询的日志,那么该天对应的日志查询结果页面为空。
(1) 首先检查应用审计策略是否正确;
(2) 查看应用审计日志是否记录;
(3) 查看应用审计与识别的细节信息,判断是否识别与审计成功;
(4) 通过查看首页应用流量排名统计来查看是否有误识别和漏识别情况;
(5) 查看特定IP地址的会话的AppName字段来确认是否为误识别,命令为:display ip connection protocol protocol-name ip source source-addr dest dest-addr;调试命令:debug app audit detail,debug application identify。
(1) 检查审计策略是否正确;
(2) 查看应用识别审计是否开启;
(3) 所访问网站是否符合包含content-type字段类型为text/html;
(4) 查看HTTP返回码是否为200;
(5) 查看网页标题长度是否大于128字符;
(6) 查看URL长度是否大于512。
(1) 查看应用审计日志是否发送,日志服务器是否启用,服务器IP及端口是否正确;
(2) Syslog服务器是否启动,端口是否与设备配置一致;
(3) 查看路由是否正确,ping服务器地址是否能ping通。
使用邮件客户端,配置不加密,审计到的邮件日志对应的是下载按钮;webmail:新浪邮箱、QQ邮箱等,审计到的邮件日志对应的是查看按钮。
达到了邮件还原的最大限制数。
QQ概率性审计不到退出,偶尔会出现退出跟登录和收发消息是同一条连接,获取不到结束退出的特征,此外有时登录QQ也会概率性审计不到登录日志。
微信审计不到退出、收发消息、语音视频,加密应用无法获取到这些行为特征。
阿里旺旺审计不到退出和收发消息,加密应用无法获取到这两种行为特征
百度贴吧需要开启https解密才能够进行审计,https对象中需要包含BBS站点;对于百度贴吧应用的网页浏览日志是放在其它应用日志里面的,只有登录和发表时审计日志才会记录到社区日志,而且登录只能审计用账号密码登录的情况,使用手机验证码登录的方式数据单独加密无法进行审计,发布日志由于百度贴吧使用了新的加密方式,目前只能审计到内容,不支持审计账号。
审计内容的获取是会把部分格式的内容也审计下来,涉及的日志种类很多,由于基本没影响,改动又较大。下个大版本考虑统一做优化。
这两老字段现在没有实际用途,为了保证版本升级数据库兼容性所以保留下来(避免版本升级要清库导致日志丢失),UI做了屏蔽不会显示。
邮件日志外发时,附件个数规格限制为5个,最多发送5个附件。
由于设备审计邮件是作为整体来审计的,不判断附件个数和大小,在日志外发时再单个拆分附件并统计大小,比较繁琐,非常耗性能,再加上目前并无附件大小统计显示的需求,所以file_size按默认显示为0。
仅支持MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型的邮件,目前网络中邮件基本都采用MIME格式。
操作系统类型是通过HTTP中的UA字段来识别的,用户第一次上网产生的流量携带了UA标识,如果后续流量未产生UA标识的情况下,会直接取上一次的UA标识的操作系统结果来产生日志,因此操作系统显示只能作为参考,不能保证百分之百正确。
目前HTTP文件下载支持的文件格式后缀如下:
.apk,mpeg,mpg,wma,wav,mp3,aac,compressed,zip,.rar,.gz,.bz2,.tgz,.tbz,.arj,.lzh,.tar,.ace,.uue,.jar,.iso,.7z,.bin,.zip,.txt,.hdr,.doc,.xls,.xlsx,.pacp,.pacpng,.cap,.img,.xz,.exe,.cmd,.bat,.msi,.dmg,.dll,.rpm,.ptada,.gpg,.pdf,.ps,.info,.cat,.cfg,.lss,.msg。
由于目前QQ最新版本收发消息和登录在同一条流中,无法进行阻断,所以将收发消息合并到登录行为中了。
由于目前大部分浏览器对于.txt格式的文件会自动打开查看而不能进行下载,而且查看的时候浏览器默认使用utf-8格式的编码打开,从而导致出现非utf-8编码的.txt文件在浏览器直接打开查看时显示乱码,无法查看审计到的.txt附件内容,为规避浏览器此问题,目前设备自动对txt文件压缩为.tar格式,这样就能够正常下载到本地解压缩查看了,而页面还是正常显示真实的文件名称及后缀,只是下载时把.txt文件压缩到.tar文件来进行下载。
数据库审计支持MySQL数据库、PostgreSQL数据库、Pointbase数据库、南大通用数据库、达梦数据库、优炫数据库、翰高数据库及人大金仓数据库,这些数据库支持的行为包含登录数据库和操作数据库。
目前日志总条数的统计是通过计算一天内最大和最小ID值的差值来计算的,目的是为了减少统计时间(如果查询真实的日志数量,当日志量很大时查询会很慢,会导致很长时间显示不出总条数和相关的日志展示,很影响用户体验),而页面显示的是数据库中真实存在的数据条目,如果往前修改系统时间就会造成两次写入数据库的ID值不是连续的(修改为当日时间和往后修改时间是没有影响的),从而出现计算的日志数量与实际日志数量不一致,出现后面没有数据而显示空白的情况;导出只有64条是因为前面64条日志是第一次入库时的数据,其ID值是连续递增的,由于日志每次导出支持10w条是根据ID值来进行规格限制的,从而导致后面的22条日志未导出(后面日志的ID值为6000多万,远远大于了10w),如果想导出后面的22条日志,可通过查看页面记录的日志时间,选择时间范围导出即可,由于规格限制是10w,通过ID去取第10w条日志是不存在的,由于取不到日志中的时间信息,也就导致显示不出截止时间。
审计策略匹配优先级从上至下进行匹配,支持配置多条,不进行去重校验;
由于控制和审计功能独立,不是识别出应用就记录日志的,需要审计到相关应用的账号或内容才会记录审计日志,由于有些是加密传输的,设备无法审计到相关内容,因此测试时需要配合解密的功能。
· HTTP类审计
(1) 网站访问
匹配条件:
a. HTTP协议解码模块正确解析获取到host字段。
b. URL库中正确对该host进行URL分类处理。
c. 审计模块正确审计到网页标题。
注意项:
不开启https解密,默认对内置的https网页进行审计(https audit predefine),网页标题从内置的网站与标题的对应文件中获取。可以通过命令配置https audit all对所有https网页进行审计,如果访问的域名在设备内置文件列表中没有查到,则截取域名的一部分当做网页标题,例如(www.soso.com,则网页标题显示为soso)。
(2) 网络社区
匹配条件:
a. 应用识别模块识别到论坛和微博发帖行为;
b. 审计模块根据审计特征正确提取到发帖内容。
c. 对论坛和微博相关应用的发帖行为进行审计,记录日志到发帖/发微博日志模块。
注意项:
社区审计只支持内容审计,不支持标题审计。
(3) 网页搜索
匹配条件:
a. 应用识别模块识别到具体的应用搜索行为。
b. 审计模块根据审计特征可以正确提取到搜索关键字内容。
对搜索引擎类、电子商务类的搜索行为进行审计,记录日志到搜索关键字日志模块。
(4) HTTP外发下载文件
匹配条件:
a. 应用识别模块正确识别到HTTP文件传输行为。
b. 审计模块根据审计特征正确提取到传输文件名。
(5) Web网盘上传下载文件(需开启解密功能)
匹配条件:
a. 通过特征识别网盘文件上传、下载会话,提取文件名信息。
b. 文件内容先缓存在内存中,整个文件的内容缓存完成后,以文件形式写在硬盘上。
c. 通过点击文件传输审计日志里面的文件名,把设备里的文件下载到本地。
注意项:
网页版网盘上传、下载文件支持百度网盘、360网盘、网易网盘的审计;附件单个文件大小最大支持100M(也可能是99.9M,会有一点点的误差)。
· 邮件类审计
(1) SMTP/POP3/IMAP邮件收发
匹配条件:
a. 应用识别模块正确识别到收邮件行为(IMAP、POP3)或发邮件行为(SMTP);
b. 审计模块正确审计到邮件发送者、邮件接收者、邮件主题、邮件内容等相关信息。
如果邮件是加密的需要开启https邮件解密才能审计到此类行为的邮件
(2) Webmail发送接收邮件
匹配条件:
a. 通过特征识别邮件附件上传、下载会话,提取附件名、把附件内容首先缓存在内存中,整个附件的内容缓存完成后,以文件形式写在硬盘上;
b. 通过特征识别邮件发送、接收会话,提取发件人、收件人、抄送人、主题等信息;
c. 留存的附件通过附件名与邮件日志关联。
注意项:
a. Webmail接收邮件只支持163、126、QQ邮箱三个,点击收邮件,且得点开邮件查看内容才会有收邮件的请求,才能审计到;如果要审计附件必须点击附件下载,才能审计到;
b. Webmail邮件发送接收邮件上传下载附件都会先在文件传输中审计到,再关联到邮件审计日志中里面去;
c. Webmail邮件附件默认最大支持100M。
· 即时通讯类审计
匹配条件:
a. 应用识别模块正确识别到IM登录行为;
b. 审计模块正确审计到IM账号信息。
· 基础协议类审计
基础协议审计主要是对各个高层协议进行审计,支持FTP协议审计。FTP审计主要审计FTP协议传输文件名、账号、ftp操作命令,记录日志到文件传输日志模块。
匹配条件:
a. 应用识别模块正确识别到FTP传输文件行为。
b. FTP解码模块可以正确解析出传输文件名。
· 娱乐股票类审计
娱乐股票类审计目前必须审计到对应的账号或评论之后才能产生对应的审计日志;
娱乐类审计:支持娱乐类应用的账号、评论审计。比如看视频,听音乐,游戏;
股票类审计:支持股票类软件的账号审计;
娱乐股票类审计支持如下应用测试:QQ游戏大厅登录、优酷视频登录、9188彩票(需要解密)、大参考登录。
· 网络应用类审计
网络应用行为审计主要对其它网络应用中能获取到账号的应用行为进行审计,记录日志到其它应用日志模块。
电子商务类登录有审计账号的都会在网络应用类审计中产生其它应用日志。
从线路策略绑定接口出去的流量为上行,从线路策略绑定接口进来的流量为下行。
流控策略(包括子通道、限制通道和排除策略)中的源目的地址不区分方向。
需要在地址对象的“排除地址”栏内同时写上流的源地址和目的地址。
流量控制通道的保障带宽必须小于等于其最大带宽,流量控制通道的保障带宽必须小于等于其上一级通道的保障带宽。流量控制通道的最大带宽必须小于等于其上一级通道的最大带宽。
多个匹配条件是与的关系,当同时满足所有匹配条件时才认为命中该通道。当一个流控通道的匹配条件为空时,会去匹配其子节点的匹配条件。
最大带宽只是起到一个限制的作用,限制流量不能超过其最大带宽。保障带宽的作用是在流量发生拥塞的时流量仍能够达到其保障带宽。
需要检查如下配置是否正确:
(1) 线路的最大带宽和保障带宽和其实际的带宽一致,若外网的带宽为20M,就需要配置线路的最大带宽和保障带宽为20M。
(2) 下一级通道的保障带宽总和(包括缺省通道)是否已经超过了其保障带宽。
多个流量控制通道是按顺序匹配的,若流量和某一条流量控制通道匹配,就不会再匹配后续的流量控制通道。
QOS排除策略也称为白名单,就是指定的用户或者地址的流量,不受QOS管制,直接转发,最大限度的保证这些用户使用网络。
流量先被每IP限速处理,然后再被流控通道处理。每IP限速的周期是一秒,流控通道是实时的。被IP限速通过的流量可能会继续被流控通道丢弃。
设备配置限制通道及线路通道中的每IP限速,会导致下载附件时实际下载速率为限速值的三分之一。
设备上配置限制通道或线路通道中的每IP限速,可通过qos perip cache-mode ( enable | disable )命令来控制每IP限速的令牌桶计算方式:
默认情况下该命令为关闭状态qos perip cache-mode disable
qos perip cache-mode disable没有缓存,丢包取决于是否达到限速值,会使总缓存的报文数量减少,调度更快cpu使用率降低,但会导致每IP限速的丢包,影响TCP滑动窗口,终端发起的流量可能就会少了,导致设备总转发流量降低;
qos perip cache-mode enable有缓存,开始丢包后造成滑动窗口变小,但是还是可以从缓存中获得数据包转发,会抑制滑动窗口不断变小。
· 对于限制通道中的每IP限速,配置qos perip cache-mode disable时限速效果好但有抖动,配置qos perip cache-mode enable时网页测速抖动小;
· 对于线路通道中的每IP限速,配置qos perip cache-mode enable时限速效果好且速率抖动小。
是的,由于增加了QOS百分比及线路带宽调整,每IP/用户不支持QOS百分比功能,但修改线路带宽会调整通道的带宽,每IP/用户的带宽又无法改变,因此就可能出现调整后的通道带宽小于每IP/用户带宽的情况,若保存配置后重启会出现每IP/用户配置加载失败的情况。为了避免出现配置丢失的严重问题,此种情况作为软件限制处理。
P2P的流量存在不对称性,可能会出现大量的下行流量。多余的流量被流控通道丢弃,但是会影响总体的带宽使用率;建议在实际部署时减小P2P的上行流量,这样可以有效抑制下行流量。
当发生带宽借用时,高级别的通道优先借用带宽。若多个通道的级别相同,则平均分配借用带宽。
当子通道的保障带宽之和大于父通道,按照各个子通道的保障带宽比例分配。
对延时要求高的一类应用可以放在单独的流控通道中,该通道的流量不要超过其保障带宽。
查看当前通道流量的命令display qos statistics。
Qos通道带宽自适应,只支持WEB页面配置,不支持命令行配置。
每IP限速不适用于百分比这种情况,例如针对p2p下载配置通道限速100M,每IP限速8M;但用户将通道限速改成50M,每IP限速多数情况下还是8M,每IP限速只是避免某个用户抢占过多带宽的,并不完全是均分带宽,所以每IP/每用户并不太合适带宽自适应。
限速百分比支持0.01-100%,并且支持4位有效数字,所有小于0.01的都显示为0.00%。
(1) 配置限速通道的保障带宽、最大带宽的限速百分比;自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成绝对速率。
(2) 配置限速通道的保障带宽、最大带宽的限速速率;自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成百分比。
(3) 更改父线路或者父通道的保障带宽、最大带宽、子通道的最大带宽、保障带宽自动根据百分比发生变化。
(1) 初次配置的带宽百分比是基数不会变。
(2) 用带宽/线路值=百分比A(如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。
(3) 调整线路后,用百分比A*调整后的线路=带宽值。如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。
(4) web页面qos通道页面编辑后提交。相当于带宽重新下发,需要以web页面当前的带宽和线路算百分比。
(1) ui先配置带宽后配置每ip的时候有检测,命令行配置perip带宽不检测。
(2) 如果上一步的基础上修改线路带宽后,页面不做检测,修改线路带宽不受影响。
(3) ui修改通道带宽或者编辑通道的时候,UI会检测perip大于通道最大带宽,弹出提示。
(4) 这种情况如果保存配置重启,配置不会丢失。
在透明部署模式下配置QoS时,线路中绑定的接口必须是bvi接口的成员物理接口,功能才能生效,若在线路中绑定bvi接口则QoS功能无法生效。
在三层部署模式下进行QoS时,线路中绑定的接口必须是三层接口,功能才能生效。另外,当使用bvi接口进行三层转发时,QoS线路需要绑定在bvi接口上才能生效。
在子接口模式下进行QoS时,线路中绑定的接口必须在子接口上做,绑定在子接口的物理口上不生效。
在聚合接口模式下进行QoS时,线路中绑定的接口必须在聚合接口上做,绑定在聚合接口的物理口上不生效。
可在命令行下执行“debug qos match”,通过debug消息可知道具体命中条目。
本地报文、非IP报文,另外桥接口报文只受物理口QOS策略限制不受桥口QOS策略限制。
可在命令行下执行“debug qos drop”,通过debug消息可知道数据包是否被QoS丢弃。
同一个接口既配置普通通道又配置限制通道,只会匹配限制通道,命中限制通道后不会继续匹配。
在外网口和内网口同时配置限制通道和普通通道,先匹配流量流入接口的策略,再匹配流量流出接口的策略。
为了提升QOS限制通道的处理性能,目前流量统计粒度比QOS通道的粗,流量统计存在5%左右的误差。
限制通道、惩罚通道、普通通道共用总规格256。
新增的限制通道和惩罚通道不需要绑定线路,与QOS线路并列显示,因此限制通道与线路和其它限制通道可以配置同一接口。
一条流包正反两个方向,对于TCP流,设备根据流量发起方确定为正向流,匹配出方向带宽限制,五元组相同的另一个方向的反向流则匹配入方向带宽限制,对于UDP流由于无法区分正反向,会将流量进入设备的那一个方向确定为正向流,匹配出方向带宽限制,五元组相同的然后另一个方向的流确定为反向流匹配入方向带宽限制。综上,如果使用测试仪模拟UDP流量,两个方向的流如果五元组不一样,则均为UDP单向流,会同时命中惩罚通道出方向带宽限制。
电脑必须要安装,如不安装会出现浏览器提示证书不合法无法访问的情况。
电脑端需要安正证书在浏览器的受信任根目录下,具体导入过程见【证书导入文档】。
证书有始发日期和结束日期,当导入证书以后,用户电脑当前时间小于证书的始发日期会导致证书无法使用。用户电脑当前时间大于证书的结束日期也会导致证书无法使用。
当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
Chrome浏览器原本打开的12306就是报非安全连接,并且Chrome和Firefox浏览器把全部http视为非安全连接。
如果两台防火墙串联(PC-设备1-设备2),设备1证书为mm.cer,设备2证书为https.cer,用户电脑应该导入设备1的证书mm.cer。
防火墙的证书必须和用户导入的证书一致,否则浏览器依然显示证书非安全。
手机端(Android/ios)都需要导入证书,如果不导入,手机端访问网址、发送邮件、升级系统都会报非安全连接或者验证错误。
不是。邮箱客户端只针对SMTP/POP3/IMAP协议、同时开启SSL加密的邮箱提供解密,有些邮箱客户端(网易邮箱大师/闪电邮)的smtp是使用的TLS加密,TLS加密不支持解密。
另外,由于QQ邮箱特有的加密方式,目前设备暂不支持对邮箱客户端中使用QQ邮箱的解密。
对于使用了HSTS技术的网站,配置https解密后会出现大概率打不开的情况,请将该域名排除。
支持对安卓、IOS移动终端的https审计,但必须导入证书,证书导入方法参考解密策略典配文档,部分移动终端自带浏览器访问页面时会报证书不安全的提示。
由于部分APP对证书有高安全级别的检验,移动终端导入的证书就会检验不通过,导致无法访问,如果出现此情况,则在解密策略中排除APP应用服务器的IP或者关闭解密策略。
需要在命令行配置sslproxy serial-random disable,由于ssl客户端生成的证书的序列号为服务端证书+随机数计算而成,每次序列号是变化的,对于某些手机端的浏览器安装了证书还是会存在合法性校验验证不过,会被浏览器拦截,这个时候如果弹出了继续浏览按钮,点击继续浏览,下一次ssl握手推送的证书和上一次证书的序列号不一致,还会被浏览器继续拦截,因此会一直弹告警,但是在配置了sslproxy serial-random disable后,会每10分钟变化一次随机数,这样点击继续浏览后两次的证书序列号是一致的,就不会存在一直弹安全告警了。
安卓系统手机、Linux系统PC不支持SSL解密证书的推送。
访问本地检测页面采用域名的形式,因此要求设备可以捕获下游用户DNS请求,用户把域名重定向到设备IP。
证书是否安装的检测基于用户实现,若下游存在nat或者其他共享地址上网的情况,第一次检测后,一个小时内不再进行检测。
证书推送需要配置解密策略,只针对解密对象中支持的域名有效,解密对象中不支持的域名,需要将域名单独添加到解密对象中。
是的,目前解密中的域名地址的匹配是通过监听DNS报文解析出IP地址,然后以此地址和目的地址进行匹配的,因此如果两个不同的域名绑定了相同的IP地址,只在HTTPS对象中配置了其中一个域名,另一个域名也是会进入解密流程的。
解密功能本质是https代理,作为服务器和客户端建立连接,作为客户端和服务器建立连接。作为服务器支持TLS 1.0、 TLS1.1、 TLS 1.2,作为客户端只支持TLS1.2
加密套件:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:AES256-SHA256:!RC4
广告对象配置支持16条。
广告策略配置支持16条。
一条广告策略可引用1-3个广告服务对象。
本地广告服务对象最多支持4张图片,图片格式目前支持jpg、png,不支持动态图片上传gif,不支持bmp格式图片。
策略中引用的广告对象必须种类相同,不可第三方及本地同时引用。且被引用的广告对象不可修改类型。
命令行不支持新建广告对象。只能修改一些参数,图片不支持修改,命令行主要做配置恢复。
命令行不支持图片导入,不支持图片ha。
一条策略里三组图片,如果图片位置一样的话,pc访问页面广告覆盖显示。
广告对象里的设备ip不通的情况下广告图片无法加载;策略里地址对象不通导致web页面打不开。
域名白名单模糊匹配(使用简单的字符串匹配)。配xw.qq.com访问www.xw.qq.com这才是包含关系。
手机广告对象弹出只有置中与广告对象上下左右不一致。广告对象位置信息只针对PC端生效,移动端全屏显示。支持配置多张图片,以轮播的形式展示,最多支持4张,且每张图片支持广告URL及描述配置。
广告推送如果跨网段推送广告。需要在下联用户的入接口开启http服务(推送模板需要基于设备的一些js库,需走设备入接口http服务)。
手机端UC浏览器需要关闭广告过滤推送的广告才能显示。
腾讯微博和新浪微博内置了域名白名单不会弹送广告。
某些网站安全检查走的是云加速,存在302跳转导致无法打开。开启云加速功能后无法抓到第一个GET包,目前手机qq浏览器需关闭“云加速”后才能够弹出广告。
163和126邮箱页面和广告模板存在兼容问题,不推送广告。
由于某些网站类型限制,导致插入广告后会存在网页打不开现象。网页刷新三次后可以打开(为了提高推送广告的成功率,广告间隔60秒里推送2次)。
由于图片不支持HA主备,存在一个问题。在主墙配置好广告推送后,当主备发生切换后由于广告图片不支持同步,导致备变主后,图片为空,只有图片名称。此时需要手动删除广告对象里图片并且重新上传图片,广告功能才可使用。
每张图片默认展示3秒在加上1秒缓冲就是4秒,最多展示4张图片也就是4*3+1一共13秒。
广告推送白名单(只有命令行)。支持域名白名单(针对目的域名规格256条);支持基于源地址对象的广告白名单(规格256条)。
策略匹配顺序从上向下,如果上面策略匹配到的话,下面策略就不会在匹配。
广告策略里启用禁用是跳过当前这条配置;动作不推送,相当于命中这一条策略截止不继续往下匹配。不启用还得往下匹配。
每张图片上传大小最大是2M。
广告策略配置多个广告对象时。Pc端广告展示全部生效,移动端只生效一个,广告图片随机展示。
由于edge浏览器框架跨域不支持广告推送。
目前只支持HTTP网站弹送广告,不支持HTTPS网站弹送广告。
广告对象里图片需要删除替换时,当只有一张图片时不能删除,需要先添加新的图片上传后,才能删除需要删除的图片。
华为手机今日头条app的链接打开后广告会一直轮播无法关闭,原因是app与广告模板不兼容,不支持推送广告。
https网站类型使用http方式访问网页打不开,http页面访问被301重定向到https页面,导致无法显示。需要以https方式打开https类型的网站。
开启广告推送后访问部分网站广告可以弹出来网页也正常显示了但是过了几秒网页变成黑色,需要将该网站加入域名白名单,不推送广告。
广告推送只对域名方式的URL访问生效,对IP方式访问的URL不推送广告。
软件限制,策略重名时图片无法恢复,文字可以保留。
广告推送配置推送间隔非0时,会推送两次,目的是防止非浏览器的get报文导致广告推送不出去,虽然目前已有UA过滤,尽量避免非浏览器的推送,但做不到完全过滤掉非浏览器的报文。
基于会话的源和目的IP来进行限制,当会话没有匹配到源IP地址,就会继续匹配目的IP地址。如果匹配到了源IP地址,那么不会继续匹配目的IP地址。限制的方式包括并发会话数和每秒新建会话数两种控制方式。
一条新建的流量能够同时匹配多条会话限制时,将以会话限制配置的从上到下顺序进行匹配,以配置在上面的条目为准。
比如对公司内部各IP进行会话数限制,地址对象为any,总会话数限制为200,每秒新建限制为10,对技术支持组的各IP进行会话限制,地址对象为192.168.2.0/24,总会话数限制为100,每秒新建限制为10。
配置了两条会话限制,技术支持组的地址对象包含于地址对象any。
查看限制阻断,匹配到192.168.2.0/24的地址的会话限制都采用的是技术支持组的会话限制配置,符合预期效果。
可以,会话总数和每秒新建的速度,如果只希望限制一个,可以将另一个的数值设置为0,表示对该项不进行限制。
不可以,如果已经配置了某个地址对象的会话限制,那么下一次新建该地址对象的会话限制后,将覆盖之前配置的会话限制。
不会,由于会话已经建立,且数量大于当前配置的会话限制中的总数,下一次该地址对象的流量到来后,将不会受到会话限制的影响,除非该会话老化。如果一直有该地址对象的流量通过,那么该会话将无法老化,可以通过手动清除当前的会话,来使得会话限制对该地址对象立即生效。
支持,会话控制支持对IPv4地址和IPv6地址对象的会话进行控制。
白名单优先级高于黑名单,按照全局白名单走,不去匹配黑名单。
只有会话中源地址配置了白名单,才会走白名单流程,不匹配上网行为相关策略。
白名单查询支持模糊匹配,没有进行名称、地址、描述的区分。
支持,全局白名单的地址可以配置为IPv6地址。但是在旁路接入的场景下,全局白名单对IPv6地址不生效。
会影响,编辑一个白名单时会清空所有会话白名单的匹配标记,会话需要重新匹配白名单。
地址本域名是指在地址对象中支持添加域名方式的对象,并支持在其它策略中引用。
地址本域名支持添加域名形式的地址对象,设备会将域名解析成对应的IP地址,在策略匹配过程中实际还是直接匹配的IP,如果发现策略命中不生效,检查设备是否配置了DNS,以及查看域名是否成功解析成了IP地址。
在管理员、地址对象等模块,向地址列表中添加IP地址时,前端只校验IP地址格式的合法性,不校验IP地址是否符合业务逻辑,业务逻辑统一由后端校验。因此,如果添加的IP地址不符合业务逻辑,在提交后才会有提示信息。
进入WEB页面内的“对象管理>地址>地址探测”点击新建地址探测。
进入WEB页面内的“对象管理>地址>地址探测”查看探测track的间隔时间和重试次数是否时间太短。建议探测间隔时间和重试次数使用默认值10*4。
进入WEB页面内的“对象管理>地址>地址探测”查看探测track状态失败,先确定配置的探测条目tcp端口是否打开。
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
(1) 设备备墙上查看HA配置。
(2) 设备备墙上查看HA所关联track状态是否为Failed。
(3) 设备备墙查看引用的track对象的探测目标是从哪个接口出去的。
(4) 设备备墙在探测目标的接口下配置管理ip地址。
(1) Track联动HA时,因为HA备设备只允许源地址为管理地址的报文发送,所以需要将探测报文的源地址指定为接口的管理地址。
(2) Track联动HA时不支持跨网段的探测,因为跨网段的话,你要把往其它网段的报文发到HA管理IP的网关上,备设备看来,HA管理IP的网关就是它自己,但是它自己是备状态,报文发不出。
最大规格是500条自定义应用,如果导出超过500条的文件,则只有导进500条成功。
尽量不要选择已经被使用的端口。
不是,只需要在目标端口、IP、域名或URL任选一个填写即可。
首先用户没有识别,那就是用户地址不在识别范围内,更改用户全局配置里识别范围后,清一下会话,再匹配自定义应用流量过设备。
自定义应用不支持审计,因为每一种应用的审计日志都是需要通过事先分析应用中的特征来提取出对应的审计规则才能正常产生审计日志,对于自定义应用由于只是根据IP、端口、URL等规则做简单的流量识别,所以无对应的审计规则,无法产生审计日志,自定义应用阻断日志同其它所有预定义应用的阻断日志一样发送到应用控制日志中。
自定义应用识别只改变应用ID,不会改变基础协议;以FTP协议为例,配置端口21 为自定义应用test,则该应用是test,但基础协议仍是FTP,避免不能进入FTP协议解析流程,导致其他依赖于FTP协议解析的杀毒等功能不生效。
“严格”是特征+多线程识别方式,“宽松”是使用多线程识别方式,有误报的可能。
P2P智能识别,是针对UDP流量进行固定特征+并发连接识别方式,“严格”和“适中”都是先进行并发连接识别,再进行固定特征识别,“严格”要求并发连接阈值高。“宽松”是固定特征识别方式,有误报的可能。
此功能是对迅雷及P2P行为识别的加强,优先特征识别,在特征未识别出来的时候才会走到此智能识别,由于迅雷及P2P应用的复杂及特征多变性,不可能做到100%准确识别,只能通过此功能来提高识别率,p2p行为的智能识别,是针对于udp流量,当一条流前20个包未识别出具体应用时,做p2p智能识别,设备中有一个端口配置文件,记录一些常见P2P应用的端口,此文件是随特征库一起升级更新的,主要支持以下常见的P2P应用(这些不能保证100%准确,随着其版本的更新可能会有变化,如果发生变化,我们更新相关配置文件即可,版本不需修改)
(1) P2P软件支持:脱兔、快车、utorrent、比特精灵、比特彗星。
(2) P2P流媒体(客户端)支持:优酷、芒果TV、芒果TV、YY直播、腾讯视频、爱奇艺、PPTV、搜狐视频。
迅雷的应用很复杂而且有些还是加密传输的,可能会出现识别流量不全或未识别的情况,比如某些特征改变或者其报文加密算法变更,将无法识别出来,这些并不是版本功能问题,可通过更新版本特征库解决。
支持上传公告页面功能,但上传页面文件不能超过2M,文件格式见默认模板。
编辑公告页面时,可支持插入图片、文件及链接,但是所有资源不能超过2M。
页面超过2M后,需要到文件(图片)服务器里删除,然后再提交。
1、针对HTTPS网站在触发控制时,URL控制、恶意URL支持公告页面推送。
2、支持进程及用户态协议栈两种方式的HTTPS公告页面推送。
是否没有更新最新入侵防御特征库。
规则中包含的签名集需要包含要检测的签名。
防止外部攻击防御,开启该功能以预防。
由于部分特征需要修改检测深度才行识别,可以通过配置max-ips-detect 4096命令,提升检测深度,注:此命令只适合测试使用,实际使用开启此命令,会导致性能大幅度下降。
设备同时配置有日志聚合和告警规则时,告警规则优先,即:匹配命中告警规则的报文产生的日志不聚合。
设备的内存大小不同,IPS规则模板的规格也不同。具体规格如下:
· 内存为1G的设备,IPS模板最多支持16个;
· 内存为2G-4G的设备,IPS模板最多支持32个;
· 内网为8G及以上的设备,IPS模板最多支持64个。
以上规则总数包含4个预定义规则模板。
IPS自定义规则最多可配置32条,每条自定义规则最多可包含8个协议字段,每个协议字段最多可包含8个协议匹配条件。
IPS模板分为预定义规则模板、派生规则模板和自定义规则模板:
· 预定义模板:由系统自动创建,不允许增加或删除,每条规则的配置也不允许修改。
· 派生模板:由预定义规则模板派生而来,不允许增加或删除,但是可以修改每条规则的配置。
· 自定义模板:由用户自己定义创建,其中包含的规则以及配置都可以修改。
为了减小IPS规则过多而导致配置文件太大,影响设备启动,对IPS规则保存格式进行了精简保存,从而提升设备启动速度。
每条规则的保存格式,以“52224 14107200”为例说明:
第一段52224是ID,后面第一位表示启用禁用(0或1),第二位是日志级别(1/4/5/6/8),第三位表示阻断(0或1),第四位表示抓包(0或1),后面几位表示隔离规则:如果不隔离是0,如果隔离,则表示为隔离时间,比如7200(秒)。
IPS规则,使用命令display running-config查看不到,只有导出配置的时候保存为配置文件:IPS.cfg。
IPS规则如果配置了阻断,命中该规则后会丢弃当前报文。如果是TCP协议,阻断会发rst;如果是UDP协议,阻断直接丢弃报文。阻断只是阻断当前连接或会话。
IPS规则如果配置了隔离,命中该规则后会将报文的源地址加入加黑名单(时间可配置),加黑名单以后,该地址用户后续的报文都会阻断。
IPS的防逃避功能只能通过命令行开启,Web页面不支持配置,此功能开启后对性能影响比较大,不建议开启,仅在特殊场景下使用。
例如聚合方式为“根据源IP和目的IP聚合”,所有源IP、目的IP相同的流产生的攻击会统计在一条日志中,定时发送一条日志。日志中会有汇聚参数字段,汇聚次数是这段时间内产生的总的攻击次数,定时器是1分钟。
如果日志链表里有超过256条日志的话,多于256条的部分日志,会在下一个一分钟发送。比如按照源地址聚合,构造了300个源地址的攻击报文,有256个是1分钟发一次日志,聚合次数就是这一分钟内命中规则的次数。剩下的44条日志会在第二分钟发送,如果回放2分钟,就是2分钟的总命中次数。
如果在大流量场景下,如果将DNS域名长度配置为较小的值,并且配置了日志聚合。因为长度很小,导致产生了很多日志,在配置日志聚合的情况下,日志都被缓存了。日志聚合的缓存大小是50000条,然后以每分钟256条的速度进行入库,在日志量很大缓存满的时候,会需要约3小时(50000/256 = 195分钟)才能全部入库完成。
所以,在将DNS域名长度配置成1024时,并不是检测错误产生了日志,而是之前缓存的日志还在不停入库。
因为目前仅支持木马后门、蠕虫病毒、挖矿、webshell、木马外联五类攻击,因为这五类攻击是攻击渗透成功之后做的向外传输数据的动作,一般有这种流量基本确定内网已有主机被攻陷,所以能断定被攻击成功,其他种类攻击目前暂不支持判断,成功标志为否。
是的,告警日志存储在sqlite库,日志里面会记录任务启动及结束时间,为了增加查询效率日志中记录了任务执行期间日志的起始及结束索引ID。
在日志量较大时,日志入pg库存在可能存在一定时延,可能有少部分日志会统计在下一个周期内,存在一定误差。
有无硬盘的设备都可以在入侵防御规则里对抓包项进行配置,但无硬盘设备不支持抓包功能对应日志页面无抓包字段。
目前支持对zip、gz、bz2等压缩文件进行扫描。
FTP客户端软件下载部分文件存在概率出现断点续传的情况,被阻断的报文会另起会话进行传输。
某些情况下IMAP协议传输会出现大量报文乱序的情况,目前设备默认规格是支持20个乱序报文重组,已新增命令application tcprsm level [20-80]可配置支持重组乱序报文个数是20-80个。
只支持二进制方式传输,一般FTP客户端默认是自动选择传输方式,优先使用二进制方式。
WebMail只支持126/163邮箱,且单个附件存在分多个post上传的情况,此种情况无法识别。
是的,病毒防护功能是通过计算传输文件的MD5值和特征库比较来确认是否为病毒文件的,计算md5的时候需要文件已经是一个收集完整的文件,而断点续传的话,有可能属于多条流,目前无法组合多条流相关数据来统一计算md5,从而无法进行阻断。
原因是因为ASCII传输方式会将文件中换行符号\r\n(16进制是0x0d0a)转换为\n(0x0a),导致文件MD5值改变,从而使得病毒检测失效。
关闭nd学习必须配合IP-MAC绑定使用,否则对端无法学习到设备MAC,造成业务不通。
在扫描攻击防御中启用加入黑名单功能后,当一个IP地址被识别为攻击源后,会被自动加入黑名单,并在设定的时间丢弃所有该IP发送的报文。
新建已存在黑名单,会进行替换,下发成功后会替换之前的黑名单,并且不会增加黑名单条数,如果已经满规格,进行新的配置,才会给出已超过规格的提示。
答:不一定,以下两种情况不能记录破解账号:
1、目前防暴力破解日志支持对于telnet、ftp、pop3和smtp这4种协议记录破解账号,其他协议不支持。
2、如果解码时获取不到用户名,防暴力破解则无法记录破解账号。
支持网桥模式、路由模式、旁路模式,其中旁路模式只支持检测,其余模式支持检测和阻断
dns-tunnel日志一天最多入库5W条,超过5W条后,覆盖最早的日志。
dns-tunnel缓存规格5000条包括所有dns-tunnel的流量。规格超了,就走dns-tunnel检测流程。
Dns隧道动作允许和拒绝都可以记录日志。
dns-tunnel报文匹配阻断并且加入黑名单后,后续的报文再过来直接在黑名单那里就阻断,不会再走dns隧道检测流程。
预置白名单是指在(网络配置-基础网络-DNS服务器下配置的DNS服务器地址)勾选后不会再走dns-tunnel流程。
最大支持64个自定义DNS服务器地址。配置后不会再走dns-tunnel流程。
全局白名单开启后不会再走dns-tunnel流程。
桥和旁路模式,并且是反向报文触发攻击日志的发送的情况,mac记为:-。
相同源、目的ip、源端口的dns-tunnel流5分钟报一条日志,日志发送是没锁的,偶尔可能间隔不完全准确。
记录的是检测到dns隧道的原因,有两种情况,一种是满足dns请求报文个数超过阈值,记为:DNS流量过大,一种是既满足请求报文个数超过阈值又存在异常报文情况,记为:DNS流量过大且存在异常报文。
非法外联学习共有2个维度,一个是时间,一个是学习规格500,满足任意维度停止学习。
由于归属地是从网上获取的IPDB库里的信息,非本地保存数据,设备只通过接口调用获取归属地信息,暂不能保证归属地的正确性。
CC攻击防护的防护范围配置在全站和指定URL这两个方式只能选择一种,全站的防护的范围会比较广,所以默认给的阈值比较大,指定URL,是针对某一个URL的访问防护,所以默认阈值比较小,在进行切换的时候,由于全站的访问次数配置的比较大,切换到指定UR防护,不进行修改的话会影响指定指定URL的防护效果,反之指定URL配置的较小,切换到全站如果不进行修改的话会造成误阻断,所以切换方式的话就默认变成了推荐值,防止影响CC攻击防护功能的使用效果。
规格防护支持统计最近1W条规则防护日志进行分析,高级防护支持统计最近5W条高级防护日志进行分析。
网页防篡改功能不支持防护动态页面,只保护静态页面;访问一个静态页面5次之后,页面被篡改才会有告警。每次访问后需要清理浏览器缓存。
多条精确访问控制规则之间是或的关系,匹配顺序为从上往下顺序匹配,如果匹配中某一条精确访问控制规则,就不再匹配后续的规则。
一条精确访问控制规则可以包含10个匹配条件,多个匹配条件之间是与的关系,流量必须满足该条规则的所有条件,才能命中该条规则。
外联地址支持配置IP或者域名,配置域名的情况下,域名不能直接参与匹配,需要先对经过设备的DNS流量进行学习,记录域名对应的IP地址,匹配服务器外联地址时,与学习到的域名对应IP进行匹配。
防护策略命令行配置精准控制访问(及其它防护规则)输入url时,url 后面必须输入完整配置命令,不能进行缩写,否则会出现HA环境下配置不同步的问题,正确格式如:url contain content /test.html;错误格式如:ur con con /test.html。
设备支持转义字符 \x,不支持转义字符 \t, \u,请检查配置中是否包含不支持的转义符。
(1) 用户的规格是根据不同设备型号(不同的内存来决定的,范围是4096-32768)。
(2) 用户组的规格所有设备相同,均为1024。
用户页面能够完整显示前3个用户组,剩余的用户组通过省略号代替,但是会显示具体的所属用户组个数。
用户组中引用用户的规格为2048,当所选用户超过2048个,无法全选移动到指定用户组。
用户支持批量移动,用户组不支持批量移动,仅支持单独移动。
(1) 用户导入支持追加导入,不支持覆盖导入,如导入文件中的用户与系统中已存在用户名称相同,则导入失败。回退导入操作。
(2) 导出:导出所有用户和用户组。
(3) 导入/导出的文件后缀格式(.csv)。
该情况产生主要是使用了非正常操作,当管理员在浏览器中选择需要上传的配置文件后,并未上传文件,直接去手动修改文件名称或直接删除了文件,导致选择要上传的配置文件不存在。此时浏览器的前端脚本是无法检测到系统文件变更的,当执行上传动作时会启动进度条按钮,由于文件不存在进而导致上传行为异常,最终无法监控到上传状态,关闭进度框。此情况实际使用中出现概率较小,即使出现了,刷新下页面即可,实际影响很小,其他页面也存在类似情况,特此进行说明。
由于命令行下输入的中文字符类型可能是UTF-8,可能是ANSI,也可能是其它的编码格式。而且中文字符是2个char型,不同类型的编码是不一样的,这个无法进行限制;如果对其中的一种编码的中文字符做了限制,但是在其它的编码中可能并不是异常字符,这样限制就会有问题。因此目前命令行对以上中文非法字符未作处理,目前很多模块由于此种情况均存在未对中文特殊字符进行检查,Web页面的检查与命令行保持一致,也是支持以上中文字符的。
在用户组织结构下用户组最多可以建8级。
在用户组织结构根目录下,选择“用户>所有页”,批量编辑用户的状态,只有根路径“/”下的用户状态能成功编辑,其它组下的用户状态不变。
配置的排除地址必须要在绑定范围内才会生效,否则提示排除地址不合法。
其它模块引用用户最多引用64个用户对象。
在根组导出组织结构,会导出所有用户和用户组,但是不包括属性组,点击属性组后导出的为属性组。
· 本地认证不会新建用户组;
· 静态绑定ip和静态绑定mac不会新建用户组;
· portal认证会新建用户组:portal-server用户;
· 短信认证会新建用户组:短信用户;
· 免认证会新建用户组:免认证用户;
· 混合认证会根据用户选择的哪种认证方式认证后进行创建不同的组,认证方式为选择的认证类型方式;
· 单点登录会新建用户组:单点登录用户;
· IMC推送UDP9999会新建用户组:IMC用户,所属组IMC用户,认证方式为imc;
· 第三方radius用户认证会新建用户组:Radius用户组,认证方式为第三方Radius认证;
· 第三方ldap用户认证会新建用户组:Ldap用户组,认证方式为第三方Ldap认证。
根据不同硬件类型,每个组下最多允许对象也不一样,但是在默认组下允许对象数没有限制,但也不会超过最大规格。
如果在导入时有用户被引用,会出现导入不全的情况,因为导入的时候是先删除用户再导入用户,而被引用的用户,是无法被删除的,此时出错,那么退出,故导致导入不全。存在此情况时建议使用“跳过,不导入该用户”的方式
LDAP同步条目128,SNMP同步规格64,ARP扫描条目64个。
LDAP同步录入用户不支持指定用户组,录入按照AD域上OU和安全组进行录入。
LDAP服务器用户名长度大于63字符后同步到设备用户名会截断成63字符。
LDAP服务器同步目前支持389明文传输,不支持636密文传输(加密跟服务器交互不了 身份验证不了)。
在用户管理>全局配置>第三方LDAP认证处,选择ldap组统一认证。
LDAP仅支持简单模式的联动认证,不支持匿名和通用模式的联动认证。
支持与Openldap、Windows AD域服务器的认证对接。
AD服务器上用户名超长(大于63字符),含有异常字符(汉字数字字母以及@._-()[]|以外的特殊字符)可以同步,不能录入到本地用户结构,系统日志会记录一条日志;同步过程中会依次在本地用户结构添加用户、用户组,本地满规格时无法录入,同步规格和本地用户规格相同。
LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
远端用户删除后重新同步ldap组后,远端被删除的用户移除用户组,本地用户没被删除,不会影响到策略。
(1) 由于远端用户认证未下线所以本地即使没有该认证用户也不影响下联pc上网。
(2) 当远端pc认证用户下线后重新使用被删除的用户进行认证是提示用户不存在。
LDAP定时同步设定的起始时间范围为0-23,同步间隔(30-86400秒)例如:配置起始时间为23,同步间隔为600秒,所代表的含义是时间从23点的第一次同步,往后间隔10分钟同步一次LDAP用户。
属性组只能引用LDAP安全组的组织结构,安全组下用户不允许直接被引用。提交后点击属性组查看,可以显示到安全组下的用户层面。
LDAP用户组名称允许同名,用户名称不允许同名。
· 设备本地存在用户组和ldap服务器上组名一样,可以把AD域上重名的用户录入到设备组下。
· 设备本地存在用户和ldap服务器上用户名称一样的话,不会把AD域上的用户录入到设备上。
(1) LDAP安全组和安全组下用户不允许删除,只可以编辑查看,不能修改。
(2) LDAP安全组和用户不允许导出和导入。
(3) LDAP安全组不允许录入其他用户(包含:认证策略里指定用户组,用户同步条目里的指定用户组,自注册里的用户组)。
(4) 第三方LDAP认证 用户属于多个组的情况下,在线用户中只显示一个组信息。
(5) 安全组同步过程中修改用户组,禁用或删除策略后会导致最终设备残留安全组无法删除。
(6) 两台AD服务器上有相同的用户,用户属于不同的安全组。同步后,设备上查看用户所属安全组有两台AD上的安全组。
正常情况下安全组不允许编辑,在特殊操作下可以移动:
如果手动在安全组父组下添加用户或其他组,全选移动,安全组可以被移动。
win2012 AD域下ou组以安全组方式同步到设备后,ou变成安全组。
不用层级的相同名称安全组占用多个用户组规格;一个用户属于多个安全组,该用户只占用1个用户规格。
(1) 编辑LDAP安全组同步任务:禁用、修改录入组、更换ldap时服务器,会删除修改之前的同步结果。(修改LDAP服务器的Base DN不会触发)。
(2) LDAP安全组同步任务在同步失败(密码错误、网络不可达、AD域上无安全组)时,会删除之前的未被引用的LDAP安全组和组下用户。
多个用户认证并行时,用户同步任务单线程处理,上一个同步任务完成后,才开始下一个同步任务。
AD域用户更新密码后,使用同步的ldap认证时,新旧密码都可以认证。在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。
这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。这样,即使新密码没有生效,旧密码依然可用。
测试2003的服务器,旧密码有效期为60分钟,自测60分钟后密码失效,此为AD域服务器的保护机制,不修改。
手动创建用户组、用户创建为本地用户,和ldap服务器上组、用户名称一样,点ldap同步,这个用户没法用ldap认证,ldap同步当存在重名用户时,只移动用户,不覆盖。
ldap组里第一个ldap服务器密码不对,用户在第二个服务器,此时用户认证浏览器无响应,目前处理不了跨域的ldap组认证,需要保障ldap组下地址可达,服务器密码正确。
HA主备环境LDAP服务器、ldap同步条目,ldap同步用户和ldap认证用户会同步到备机。
arp扫描只支持扫描设备同网段用户。
arp扫描和SNMP录入支持指定用户组录入和不录入,如果配置的ARP扫描和SNMP同步未指定录入组,只扫描同步,录入用户。可以在同步结果页面,直接下载CSV文件、录入到指定用户组、支持IP-MAC绑定。
(1) 新建交换机条目的mac地址是与设备相连的交换机的地址。
(2) 设备配置的团体名需要跟交换机上的团体名一致。
(3) 团体名不能包含中文。
开启SNMP同步后,交换机下的新用户IPMAC如果不能及时学习到,数据直接放通,在线用户列表中的MAC会显示成三层交换机的MAC。
如果交换机的MAC不在跨三层学习交换机列表中,直接拿数据MAC与IP-MAC绑定表比对。
如果交换机的MAC在跨三层学习列表中,先遍历IPMAC学习表获取真实MAC,然后再与IP-MAC绑定表比对。
如果旧表中有对应mac,则更新老化时间,如果没有,则新增。对于旧表中有但没有新学习到的mac,等老化后删除。
学习是分两步:
(1) snmp协议跟交换机交互报文,来学习IP/mac条目,并将IP/mac条目存到文件中(网络好时报文交互快,学的也快)。
(2) 从文件中读IP/mac,进行新旧对比并更新老化时间。
在跨三层环境下,由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化,用户刚上线时未学习到终端真实MAC地址,后期学习到终端真实MAC地址后,如果用户MAC敏感为关闭状态,用户不会重新识别会导致无法关联上静态绑定用户。
用户MAC敏感功能默认为disable状态,通过user mac-sensitive enable命令开启MAC敏感功能,当终端的MAC地址发生变化时重新进行用户认证识别上线。
(1) IPMAC表达到59000条时触发快速老化,将已经老化的IP/mac全清掉,规格满直接丢新的条目。
(2) 两次快速老化的时间间隔是10分钟。
正常情况下,全局开启跨三层扫描后启动老化定时器,30分钟执行一次老化,然后更新定时器的时间进行下一次老化,如果条目达到59000条,触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟;当再次达到59000条时,if判断当前时间-上次快速老化时间〈10分钟,什么都不做;否则触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟。
因为录入前没有流量做策略匹配导致获取不到录入的组,因此无法录入,这种情况需要用户重新弹认证页面上线才能够正常录入。
radius服务器是使用icmp检查,如果有回复则认为成功,ldap服务器是使用协议默认的tcp 389端口进行测试,并且会使用配置的管理员及密码进行验证,验证通过后才认为成功。
支持本地认证、短信认证、免认证、Portal server认证、AD域单点登录、混合认证。
支持本地认证、短信认证、免认证其中一种或多种认证方式组合。
主要针对第三方用户,目的是将存在于第三方的用户加入设备,便于做策略限制等。此功能不影响本地已有用户,只会新增用户,不会修改已有用户信息。
认证策略用户录入未配置用户组时不会录入用户。
第三方录入用户,如果用户未下线,该用户无法编辑,在线用户注销后,用户可以编辑。
认证策略有效期录入用户,当认证策略里用户有效期过期后用户状态变为未启用状态,如果重新启用用户的话需要更换用户有效期为有效时间。
第三方用户认证录入支持永久录入、有效期录入、临时录入。
(1) 永久录入:指用户认证成功后录入到设备的用户不会自动删除,未删除的情况下长期有效;
(2) 有效期录入:是指用户认证成功后录入到设备的用户到达指定日期后录入用户和该条认证策略都失效,如果启用需要修改时间在有效范围内。
(3) 临时录入:是指用户认证成功后录入用户到设备指定的用户组,当用户注销下线后,录入的临时用户会自动删除。
临时录入策略命令行clear user-recognition,录入用户不会删除,需要手动删除用户。
如果用户存在于本地,且不在认证策略中选择的用户组,该用户认证时,录入ip/mac信息不会移动用户到认证策略里选择的用户组。例如:本地存在有个用户名张三,在用户组织结构中在测试组,但是认证策略选择的录入组是开发组,使用张三来认证上网,则张三不会被移动到开发组。
如果用户是第三方认证,本地不存在该用户,则录入ip/mac信息时会在认证策略里选择的用户组下创建该用户。
针对自动录入的用户ip、mac有时间限制,但剩余有效期在界面是不可见的
本地web认证、ldap认证、radius认证均已支持用户态性能优化,其它认证方式仍然在内核态实现,认证性能没有变化。
为了保证原有功能不受影响,优先录入到imc配置推送的用户组中,功能与以前保持一致,当用户进行Portal Server认证,认证成功后,用户会被录入到设备配置的imc推送的同名用户组中,用户下线后,录入到imc推送用户组的用户会被删除。
是的,为了录入的用户能够正常配置恢复,在用户录入时需要与本地用户支持的字符一致,对于未录入的情况在用户上下线日志中是有相关的原因说明的,目前由于Portal Server快速无感知认证上线时使用mac地址做为用户名的一部分,对于里面的冒号目前暂不支持,因此无法录入。
配置了认证策略后,终端用户访问网站时,可以弹出认证Portal页面进行认证上网。设备仅支持对于HTTP网站的标准端口(80及8080端口),及HTTPS的标准端口(443端口)弹出认证页面,如果访问其他非标准端口的网站时,则无法弹出认证Portal页面。
当同一个终端自动弹出或打开了多个认证页面时,仅最新的验证码生效。
· 在配置本地认证策略时,可以基于用户组织结构,指定该策略限定的认证用户范围,且只对设备添加的本地用户有效。
· 混合认证中的本地认证不支持此功能。
· 能选择的用户、用户组数量为64(64是指选择的对象的数目,不区分是用户和用户组)。
注意事项:
(1) 对于用户层面来说,只有选中的用户才能进行本地WEB认证上网,未选中或者排除的用户不能进行本地WEB认证上网。
如果组网中存在认证流量二次过设备的情况,需要在认证策略配置中,将源、目的地址配置为排除设备地址,否则会导致认证时无法重定向到认证页面的现象。
认证模板设置包含本地认证、短信认证、免认证的弹出portal页面的风格自定义,同时增加了轮播模板,可用于以上认证方式,即每一种认证方式都包含两套模板:默认模板以及轮播模板,轮播模板支持3张背景图片循环播放。
HA环境用户认证模板编辑修改不会同步到备机。
用户认证模板修改后点击阅览没有生效的时候,点击CTRL +F5按钮重新加载后模板显示为修改之后的模板。
认证模板预览支持认证方式切换效果的展示,但目前尚不支持此功能。
功能接口需要根据提示文档进行对应,否则修改后的功能按钮将无法执行功能。
布局内容可以根据需要自行任意修改,需要注意按钮功能接口需要对应给出的提示文档。
支持HA同步,主设备导入portal后,备设备也会同步更新,同时备设备也会阻止导入portal页面。
不需要,自定义portal的导入功能是覆盖导入,直接替换之前的文件。
(1) 查看控制策略是否允许,如果默认禁止则PC过设备无法访问网页。
(2) 查看用户识别范围是否改为any或是指定认证用户的IP地址范围。
(3) PC流量是否经过设备,访问域名的DNS解析报文是否经过设备(可以通过PC过设备访问设备内置域名,使用命令display sslproxy dns status查看,设备是否学习到了IP来判断,DNS报文是否经过设备)
(4) 是否开启https弹portal选项,弹portal消除告警功能的生效需要开启https弹portal功能。
首先需要了解认证中的加密选项,本地web认证和短信认证都有加密选项。开启加密前,访问域名不受任何影响。开启加密后,访问的http和https域名都会加密变成https地址。
所以,不开启加密选项时,访问http本身不含告警,不需要消除告警。访问https时,会存在告警页面,此时开启弹portal消除告警功能后,可以消除该告警页面。
当开启加密选项时,分为两种情况:
· 第一种:访问http域名时,因为加密原因,弹出的portal被强制变为https,此时只需要开启加密消除告警功能,即可消除该告警页面。
· 第二种:访问https域名时,弹portal还为https,但是需要开启弹portal消除告警和加密消除告警,两个功能全部开启时,可以消除该告警页面。
当改变引用的证书或关闭消除告警功能时,对于已经在该证书并开启消除告警功能时登录的用户,会最终心跳超时,下线。对于流量超时上线的用户没有影响。
无法认证成功,短信认证与浏览器是绑定的。
不包含短信认证的配置,由于短信认证没有命令行,所以导出的设备配置不包含短信认证配置。
不同步。
问题原因:
先配置错误的DNS再配置正确的DNS,认证时依旧会使用错误的DNS导致无法认证。
规避方式:
(1) 修改dns服务器配置。
(2) 修改管理设定中的web端口使正确的DNS生效,DNS生效后可以再把端口修改回去。
免认证方式是一种支持用户自定义认证portal进行广告宣传,同时不需要输入账号即可实现快速上线的认证方式,可提升用户体验。用户访问网页时被重定向到已定义好的portal页面,点击登录按钮即可完成认证流程。
用户第一次接入网络时会弹portal认证页面,用户按照要求输入正确的用户名及密码后完成认证并成功上线,此时设备会将该用户的MAC加入到无感知列表,当用户下次上线时先查无感知列表,如果用户MAC在无感知列表中,设备自动完成认证,将用户无感知上线,简化了认证流程,提升了用户体验。
用户认证上线后,设备将该用户的MAC加入到无感知列表,当用户下线后,设备启动超时定时器,在超时时间范围内用户再次上网可以无感知上线,若大于超时时间,设备会将该用户MAC从无感知列表中删除,此后用户下次上线时需要重新输入账号密码进行认证。
无感知认证支持跨三层组网,但需要在设备上开启SNMP跨三层MAC学习功能,以获取用户的真实MAC。如果未开启SNMP跨三层MAC学习功能,会把报文中的三层设备的MAC加入到无感知列表,从而导致三层设备下的用户都可以无感知上线了。
本地认证、短信认证、都支持无感知。
如果本地认证的用户信息在LDAP和Radius服务器上,LDAP的用户需要同步到设备本地或认证策略里配置录入用户。由于Radius的用户不支持同步,故Radius用户认证需要认证策略里配置录入用户。
(1) 用户超时下线,并非用户自己主观行为,所以应该支持无感知,让用户没有重新认证的感觉。
(2) 用户被管理员踢下线,证明用户存在一定的异常,针对异常用户肯定不能无感知。
(3) 用户主动注销,证明下线是用户主观的行为,不想在不知情的情况下再次上线,所以也不能支持无感知。
通过如下命令检查用户上线后MAC是否被加入到无感知记录表中:
· display user-waa local-waa查看本地认证无感记录表。
· display user-waa sms-waa查看短信认证无感知记录表。
目前无感知上线的用户暂不支持HA同步,因此HA主设备在线用户显示无感知认证上线的用户名,而HA备机上显示的是匿名用户。
手机端进行钉钉认证时,只能使用钉钉进行二维码扫描,不支持用户名密码登录。
钉钉认证功能支持自动获取用户组织结构,因此需要在钉钉后台开启通讯录可读权限。
支持PC端钉钉认证。
在页面点击钉钉认证注销后,页面不能自动完成刷新。需要手动触发认证策略,重新进行钉钉认证。
回调地址是用户在企业微信开发者平台注册时配置的,用户在设备界面配置的回调地址必须要跟企业微信开发者后台配置的回调域名地址保持一致,企业微信认证最终需要从企业微信服务器读取用户信息,这是由终端调用回调地址触发、然后设备负责处理认证的lighttpd(端口8000)完成的,所以要求回调地址端口固定为8000。用户在企业微信开发者平台配置回调地址时,需注意将端口固定配置为8000。
POP3认证时,POP3服务器的地址时不支持配置为域名地址。
(1) APP下载链接为https时,放通APP服务器的流量只能通过配置IP实现,不能配置域名,报文交互中域名被加密了提取不到对应的域名
(2) APP认证不支持加密应用中的用户名提取
(3) APP账号监控不支持结果检验,账号登录失败或账号不存在的情况下,也能监控到用户输入的账号正常上线。
(1) 由于PC的后台流量概率会触发流量劫持(portal认证),会造成测试PC不需要手动触发认证的情况下,直接刷卡认证,就可以上线成功。
(2) IC卡认证如果设备上注销用户,用户必须重新进行IC卡刷卡才能进行认证。
(3) IC卡卡机只支持win10系统。
该规格是根据设备的用户规格而改变的,是用户规格的三分之一,比如用户规格为1024,那么IC卡卡号信息规格为341。
安装程序的导入必须是名称为“ic_card.exe”的文件。
目前IC卡卡号信息仅支持导入、导出和查询操作,如果要对IC卡卡号信息修改,可以通过导出按钮将导出配置信息,然后进行修改再进行导入即可,目前IC卡信息的导入支持的全部替换方式,在导入时会删除原所有有配置信息,重新下发新的导入配置文件的配置信息,且导入只导入前两列的信息,其他地方配置不会进行检查也不会导入。
IPv6本地认证是通过地址对象范围控制,数据只要匹配策略地址范围就会命中认证策略,无需页面额外配置。
无感知功能不支持IPv6,其他高级功能都支持。
支持IPv4的第三方服务器进行本地认证。
对于IPv6数据匹配其他类型认证策略,如果检测到非本地认证方式,默认不进行认证。
混合认证就是在用户认证时提供多种认证方式供用户选择,用户可根据需要灵活切换认证方式,混合认证支持短信认证、本地认证、免认证其中一种或多种认证方式组合。
在混合认证里既可以选择单一的认证方式,同时也选择多种的认证方式。
不一样,混合认证的模板是轮播模板,支持广告轮播。然而其它认证模板是默认模板。
PC能够重定向到认证页面,说明设备的路由及IPV4策略是没有问题的。
(1) 首先查看绑定的MAC地址是否与PC的MAC地址一致;
(2) 再查看下组网方式,若是设备通过三层交换机与内网PC相连,目前设备没有跨三层MAC地址学习功能,则无法直接获取到内网PC的MAC地址,这样即使绑定了MAC地址,任然需要通过认证才能上网。
用户源MAC获取方式因组网环境不同会有差异:
二层组网:直接获取报文中的用户源MAC,显示到日志中。
三层组网:不开启SNMP跨三层MAC学习功能的话,也是直接获取报文中的用户源MAC,显示到日志中。如果开启SNMP跨三层MAC学习功能,先取报文中的源MAC同交换机列表中的MAC进行比对,如果匹配到,则到该交换机列表中获取真实的源MAC显示到日志中,如果没匹配到则显示报文中的源MAC。
https弹portal是指终端访问https的网站认证上网,https网站能弹出认证页面portal。
由于https是加密的,访问https页面就需要ssl证书,所以手机访问部分https网页的时候,会弹出一个警告信息,部分https网站提示完可以继续访问,但是也有部分网站直接禁止继续访问该页面。这时候可以换一个浏览器或者换一个https网页重新访问。
由于不同的浏览器对一些流行的购物网站(如京东、淘宝)或门户网站(百度)证书安全级别有强制保护检查,浏览器检测到https弹portal的行为证书不合法,则不会继续访问portal页面,导致无法弹portal,此外对于银行https网站都无法实现弹portal。
IE11浏览器有合法证书强制检查,不信任的证书网站不允许用户继续浏览,进行强制保护,导致设备无法对https网站弹portal。
通过门户网站间接访问的其它网站,由于有些网站本身点击跳转时不是访问的目的网站的真实网址,而是还会通过门户网站提供的一个特殊的地址访问后再重定向到最终想要访问的网站的真实地址。对于这种https加密的方式进行访问的网址不支持https弹portal认证。
配置本地web认证或者其它认证方式,保证认证地址能进行正确认证,就能在访问https类型网站时弹出portal。
这个现象是由于浏览器针对不安全页面进行的一个安全提示,属于浏览器的一个易用性功能,因为显示等待一段时间,目的就是提示用户,这个是不安全的。用户不选的话,等待一会浏览器还会自动前往。这个属于浏览器的易用性考虑。
是由于浏览器本身的拦截造成的,由于浏览器本身的拦截,请求并没有发起,而是直接被浏览器处理掉了。
https弹Portal功能非常耗性能,在用户量较大时会导致Portal页面弹不出来,影响用户认证,所以默认情况下不使能,并且不建议在大流量场景下开启此功能,使能命令user-policy https-portal enable。
https网站是加密的,无法实现自动跳转或跳转到指定的重定向URL,包括由于访问https网站被策略阻断后也无法推送阻断提醒页面。
目前我们设备使用的 yyyy-mm-dd的风格进行显示。
csv的源文件使用Notepad++打开显示的也是yyyy-mm-dd风格。
csv默认使用Excel打开时间显示类型为yyyy/mm/dd,可以修改时间的显示格式,修改为yyyy-mm-dd,如下图所示:
仅允许绑定1个IPv6地址,因为用户绑定配置限制条数为256个,防止IPV6地址使用掩码配置范围超出范围。
1、管理员创建用户组时支持配置IP录入范围
2、当IP属于录入范围时,以IP地址作为用户名创本地用户,并录入到用户组
3、对应的IP地址的用户可以在上线用户组中显示在对应的用户组下
4、录入的用户以静态绑定方式上线,并记录上线日志(在线用户不支持同步-备机通过流量触发上线)
1、 该功能只针对认证过程发生在本地的本地用户生效。对于LDAP同步过来的用户,认证过程发生在LDAP服务器的场景,每用户终端个数限制功能不生效。
2、 对于用户终端个数限制,可以通过以下两种方式进行配置:
a) 用户配置:在用户配置界面,选择“高级配置”,配置“用户登录唯一性检查”。
b) 全局配置:“认证管理>认证方式>本地WEB认证”,配置“用户登录唯一性检查”。
3、用户配置的优先级大于全局配置的优先级。
4、修改用户配置会强制该用户下线;修改全局配置,不会强制所有用户下线。如果发生强制下线的情况,在上下线日志中会有记录。
自注册申请时,认证策略引用的自注册对象已超时,则自动审批为拒绝,审批原因为已超过审批时间,可以在用户自注册日志中看到相关的申请及审批日志记录;
自注册申请时自注册对象还在有效期,审批时申请已过期,则审批为拒绝,审批原因为已超过审批时间,可以在用户自注册日志中看到相关的申请及审批日志记录;
审批自注册申请时,如果认证策略引用自注册对象已经被删除,则审批为拒绝,审批原因为已超过审批时间。
自注册列表不支持配置文件恢复。即导出配置文件不包含审批列表,保存配置重启审批列表还在,如果把配置文件导出后导入到其他设备,则不包含审批列表。
审批自注册用户时是否会发送邮件通知取决于审批时引用的自注册对象是否勾选了邮件通知。
目前只支持最多50个注册信息批量编辑。
审批列表规格根据不同设备有不同数量,是用户组织结构中用户规格的三分之一,取整数部分,比如:设备本地用户规格为2048,那么审批列表规格为2048/3=682.6666666,取整数部分,则为682。
识别模式分为“启发模式”和“强制模式”两种,默认配置为强制模式,识别范围默认配置均为private私网地址段。
“启发模式”指的是,优先将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。
“启发模式”使用场景:对用户识别要求不严格的情况下使用启发模式,在线用户中会出现非识别范围内的用户(如:同时出现私网IP和公网IP的用户),所以统计到的在线用户数量会比较多,在此模式下需要将识别范围修改成内网实际使用的地址网段,否则会导致用户识别不精确。
“强制模式”指的是,只将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,只有源IP或目的IP地址中的一个属于识别范围时,才会被识别为在线用户;否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制,如:用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。
“强制模式”使用场景:对用户识别要求严格的情况下使用强制模式,在线用户中只会存在识别范围内的用户,过滤掉了不属于内网地址段的用户,精简了在线用户列表,只显示用户真正关心的数据,同时提升了设备性能,不在识别范围内的IP流量不走用户认证流程,避免了对用户不关心数据的处理,在此模式下务必将识别范围修改成内网实际使用的地址网段,避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。
控制策略的处理不依赖用户识别,用户ip不在范围内需要匹配到控制策略,避免控制策略动作默认为拒绝时,未识别到用户的流量匹配到默认动作,阻断流量。
审计策略的处理需要识别到用户,若设备上配置的用户范围不能被识别,则不能匹配到审计策略。
1G内存设备存储规格为1000;
2G内存设备存储规格为5000;
4G内存设备(含小于8G设备)存储规格为1W;
8G及超8G内存设备规格为2W。
要求在逃生时所有用户均可上网、逃生结束后未认证用户均需认证。也就意味着,在逃生期间在线用户不发生变动。
要求在逃生时在线用户和mac地址在已认证用户列表里的用户可以上网,其它用户不能上网。
认证用户有保存用户数的规格限制,当存储用户数达到规格时,优先删除最久没有流量的用户。
地址探测模块负责向指定的Portal服务器或着内容平台发送探测报文。当Track状态变更时,向Portal逃生模块通知Track的状态,当trach状态为不可达,portal逃生功能开始生效(探测次数和间隔时间是根据地址探测的配置来决定)。
目前不支持多域及子域的情况,在线用户信息未带域名信息。
单点登录启动脚本,存在被安全类软件提醒的风险。需手动添加至白名单即可。
用户上报信息已加密,包含用户名、密码。
登录数据此版本不支持防回放。
单点登录不支持HA主主模式;只支持HA主备模式,HA主备模式下单点登录配置支持HA同步,在线用户也支持HA同步。
在线用户只识别第一次登录的账号,避免频繁出现账号切换,目前设备是基于IP来识别用户的,无法实现两个IP一样账号不一样的用户同时在线。
由于在开启更新网关后,会在设备中增加一条默认路由出接口是ppp口,这样很容易就会有ip流量通过ppp接口发送出去,第三方pppoe监听用户上线需要收到协议0x8864(pppoe协议)并且是0x0021(ipv4协议)的报文,获取到ip地址,然后根据session id和源mac进行查找其关联的用户名进行上线,如果在不配置更新网关的情况下,可通过ping对端ppp接口地址手动触发(可通过display ip route查看到ppp接口对端ip地址),此时报文走ppp接口发包,也会触发pppoe第三方用户上线。因此该现象与配置更新网关和更新dns并无直接关联,只要ipv4流量走ppp接口发包,pppoe第三方用户就能获取到ip信息上线。
WEB用户同步录入用户与本地用户同名时,第三方用户同步的WEB用户同步上线后,由于户管理模块未区分是录入的用户还是本地创建的用户,该同名用户就会变成已经被引用的用户,此时本地用户中的该同名用户不可编辑和删除;只有把第三方WEB同步用户注销后,本地用户中的同名用户才能进行编辑和删除。
(1) 用户名支持63个字符,超出部分会截取前63个字符;
(2) IP地址目前只支持IPv4,不支持IPv6;
(3) 支持http get报文;。
(4) 提取特征中的标记字符与被提取的用户信息数据字符有重复时会导致被提取信息截断。
例如:用户名为test&123,特征标记为&,提取后的用户名为test。
(5) 端口配置不可配置为已使用的端口,例如80、443端口。支持1024-65534之间未使用的端口。
Web用户同步不支持HA主主同步;HA主备模式下,Web用户同步配置支持同步,在线用户不支持同步。
城市热点服务器用户同步到设备,需要在设备端“用户管理>认证管理>高级选项>第三方用户同步>其他用户同步”中开启城市热点监听功能,城市热点服务器同步用户上下线报文到设备端的61441端口。
数据库用户上线后默认关联到”数据库同步用户”组中,且不支持修改,认证方式为数据库认证。
数据库用户同步页面的SQL语句配置目前没有做限制,但是仅支持用户名和IP地址两个字段查询返回的数据解析。
数据库用户同步过来的用户上线必须要有对应IP的流量过设备触发,在线用户上才会显示,否则不会显示。
数据用户同步上线的用户老化时间为5个周期的同步间隔,当数据库服务器中的某个用户不存在后,经过5次数据库用户同步如果都没有该用户,则会被老化踢下线。
数据库用户名支持的最大长度为64个字符,如果超过最大长度,用户无法上线。
数据库用户同步会根据配置的IP地址范围来过滤,只会同步在IP范围内用户信息。
当数据库中IP对应的用户名变更后,在线用户对应的用户名会在下个同步周期完成后进行更新。
不支持。
不支持。
不支持。
不支持用户组同步,也不支持将同步的数据库用户指定到其他用户组。
数据库用户同步目前仅支持Postgres数据库,Postgres数据库的主流版本9、10、11、12、13均可支持,特殊说明如下:
· 数据库12.5以下的版本,数据库对接校验的身份认证加密算法支持md5/password ,其他新版本只支持password,因此如果数据库身份校验不通过需要关闭系统防火墙,同时注意修改算法,方法如下:
· 编辑pg_hba.conf文件,添加如下红框中的内容,同时将method修改为md5或password
pg_hba.conf文件不同的操作系统路径不一样,举例说明如下:
· windows系统:C:\Program Files\PostgreSQL\13\data\pg_hba.conf
· linux系统:etc/postgresql/12/main/pg_hba.conf 需要注意,不同的数据库版本号路径会有区别。
在线用户的用户名不支持显示特殊字符,如果用户名中包含特殊字符,同步上线后在线列表中不会显示。
在线用户冻结是基于用户维度的,不支持IP维度。
在线用户踢除支持基于IP维度。
设备Web页面的在线用户页面显示MAC为0的用户,并且有计数;通过命令行display user-recognition 也可查看在线用户的信息。出现mac为全0的情况如下:
(1) 由本机地址发起的会话,目的地址不在用户识别范围内,则会以本机地址为用户名,mac为全0记录在线用户;
(2) 第三方推送的用户,没有推送mac地址或者推送的用户没有流量经过设备时,第三方用户的mac也记录为全0;
(3) 会话源地址不在识别范围,但是目的地址在识别范围,MAC为0。
策略路由,也叫做基于策略的路由,是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。它转发分组到特定网络需要基于预先配置的策略,这个策略可能指定从一个特定的网络发送的通信应该被转发到一个指定的接口。
目前,设备支持同一条策略路由中配置8个不同下一跳。
同一条策略路由中同时配置多个下一跳的情况下,第一个下一跳作为主用路由,其余下一跳作为备份路由,实现路由备份功能。
图1 策略路由转发流程图
通常我们都认为下一跳失效的判断条件为下一跳是否可达,但实际上设备在实现上并没有探测下一跳是否可达的机制,因此设备只能根据自身的各种因素进行判断。下面我们分两种情况进行讨论。
(1) 下一跳是直连网段地址的情况:
设备判断下一跳是否可达的条件是ARP,只要存在正确的对应下一跳地址的ARP表项,则策略路由认为下一跳可达。值得一提的是,如果配置静态ARP,则需要同时配置对应VLAN和出接口,此时策略路由才认为下一跳可达。
(2) 下一跳是非直连网段地址的情况:
对于非直连网段的下一跳地址,设备可以进行路由迭代,即针对下一跳地址查找路由表,如果能匹配到路由,则认为策略路由下一跳可达。如果没有匹配到任何路由,或者只能匹配缺省路由,则认为策略路由下一跳不可达。
优先级依次为:策略路由->静态路由->动态路由
当策略路由存在多个下一跳出口时,流量权重是根据会话来区分的,如果只有一条会话,流量只会随机选择其中的一个下一跳转发。
· 删除低优先级的策略路由,不影响高优先级的策略路由的正常转发。
· 删除高优先级的策略路由,次高优先级的策略路由开始生效。
· 反复移动策略路由的优先级,始终是优先级高的策略路由生效。
IPv6具有128位的IP地址结构,提供充足的地址空间。层次化的网络结构,提高了路由效率。支持自动配置,即插即用。支持端到端的安全。支持移动特性。新增流标签功能,更利于支持QoS。
邻居发现协议(Neighbor Discovery Protocol)是IPv6协议的一个基本的组成部分,它实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能,并具有邻居不可达检测机制。
邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。
当主机没有配置单播地址(例如系统刚启动)时,就会发送路由器请求报文。路由器请求报文有助于主机迅速进行自动配置而不必等待IPv6路由器的周期性IPv6路由器通告报文。
IPv6路由请求为ICMP报文,类型为133。
IPv6路由器请求报文中的源地址通常为未指定的IPv6地址(0::0)。如果主机已经配置了一个单播地址,则此接口的单播地址可在发送路由器请求报文时作为源地址填充。
IPv6路由器请求报文中的目的地址是所有路由器组播地址(FF02::2),作用域为本地链路。如果路由器通告是针对路由器请求发出的,则其目的地址为相应路由器请求报文的源地址。
每个IPv6路由器的配置接口会周期发送路由器通告报文。在本地链路上收到IPv6节点的路由器请求报文后,路由器也会发送路由器通告报文。
IPv6路由器通告报文发送到所有节点的链路本地组播地址(FF02 ::1)或发送路由器请求报文节点的IPv6单播地址。
路由器通告为ICMP报文,类型为134,包含以下内容:
· 是否使用地址自动配置。
· 标记支持的自动配置类型(无状态或有状态自动配置)。
· 一个或多个本地链路前缀-本地链路上的节点可以使用这些前缀完成地址自动配置。
· 通告的本地链路前缀的生存期。
· 是否发送路由器通告的路由器可作为缺省路由器,如果可以还包括此路由器可作为缺省路由器的时间(用秒表示)。
· 和主机相关的其它信息,如跳数限制,主机发起的报文可以使用的最大MTU。
当一个节点需要得到同一本地链路上另外一个节点的链路本地地址时,就会发送邻居请求报文。此报文类似于IPv4中的ARP请求报文,不过使用组播地址而不使用广播,只有被请求节点的最后24比特和此组播相同的节点才会收到此报文,减少了广播风暴的可能。
源节点使用目的节点的IPv6地址的最右24比特形成相应的组播地址,然后在相应链路上发送ICMPv6类型为135的报文。目的节点在响应报文中填充其链路地址。为了发送邻居请求报文,源节点必须首先知道目的节点的IPv6地址。
邻居请求报文也用来在邻居的链路层地址已知时验证邻居的可达性。
IPv6邻居通告报文是对IPv6请求报文的响应。
收到邻居请求报文后,目的节点通过在本地链路上发送ICMPv6类型为136的邻居通告报文进行响应。收到邻居通告后,源节点和目的节点可以进行通信。
当一个节点的本地链路上的链路层地址改变时也会主动发送邻居通告报文。
· 路由器和前缀发现。
· 地址解析。
· 重定向功能。
· 邻居不可达检测。
· 重复地址检测。
配置相关接口的物理参数,配置相关接口的链路层属性、使能IPv6报文转发能力、邻节点网络层(IPv6)可达。
IPv6缺省路由是在路由器没有找到匹配的IPv6路由表项时使用的路由。
· 第一种是网络管理员手工配置。指定的目的地址为::/0(前缀长度为0)。
· 第二种是动态路由协议生成,由路由能力比较强的路由器将IPv6缺省路由发布给其它路由器,其它路由器在自己的路由表里生成指向那台路由器的缺省路由。
可以按照如下步骤进行:
(1) Tunnel接口未处于up状态的最常见原因是隧道起点的物理接口没有处于up状态。使用display interface和display IPv6 interface命令查看隧道起点的物理接口状态为up还是down。如果物理接口状态是down,请检查网络连接。
(2) Tunnel接口未处于up状态的另一个可能的原因是隧道的终点地址不可达。使用display IPv6 route和display ip route命令查看是否终点地址通过路由可达。如果路由表中没有保证隧道通讯的路由项,请配置相关路由。
6to4隧道不需要配置目的地址,因为隧道的目的地址可以通过6to4 IPv6地址中嵌入的IPv4地址自动获得。
ISATAP隧道不需要配置目的地址,因为隧道的目的地址可以通过ISATAP地址中嵌入的IPv4地址自动获得。
执行ping6 IPv6地址即可,使用ping命令仅为IPv4下使用的。
手动隧道是点到点之间的链路,一条链路就是一个单独的隧道。主要用于边缘路由器—边缘路由器或主机—边缘路由器之间定期安全通信的稳定连接,可实现与远端IPv6网络的连接。
6to4隧道是点到多点的自动隧道,主要建立在边缘路由器之间,用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过在IPv6报文的目的地址中嵌入IPv4地址,来实现自动获取隧道终点的IPv4地址。
6to4隧道采用特殊的6to4地址,其格式为:2002:abcd:efgh:子网号::接口ID/64,其中2002表示固定的IPv6地址前缀,abcd:efgh表示该6to4隧道对应的32位全球唯一的IPv4地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。2002:abcd:efgh之后的部分唯一标识了一个主机在6to4网络内的位置。通过这个嵌入的IPv4地址可以自动确定隧道的终点,使隧道的建立非常方便。
由于6to4地址的64位地址前缀中的16位子网号可以由用户自定义,前缀中的前48位已由固定数值、隧道起点或终点设备的IPv4地址确定,使IPv6报文通过隧道进行转发成为可能。6to4隧道可以实现利用IPv4网络完成IPv6网络的互连,克服了IPv4兼容IPv6自动隧道使用的局限性。
现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到多点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。
使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:abcd:efgh。其中,64位的Prefix为任何合法的IPv6单播地址前缀,abcd:efgh表示32位IPv4源地址,用16进制表示(如1.1.1.1可以表示为0101:0101),该IPv4地址不要求全球唯一。通过这个嵌入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。
ISATAP隧道主要用于在IPv4网络中IPv6路由器—IPv6路由器、IPv6主机—IPv6路由器的连接。
设备只支持命令行下配置IPv6的域名白名单,如:user-policy whitelist host www.baidu.com。
此功能是通过转发或者旁路流量应用识别DNS报文的域名和地址,设备本地ping不会进入识别流程,所以无法使用display user-policy whitelist显示。
根据RFC协议标准,前缀信息勾选自治标志开启自动分配地址功能,前缀长度+接口标识长度必须等于128,否则不处理。
接口标识长度默认是64,所以前缀长度必须配置为64,终端才能自动生成IPv6地址。
由于无状态获取地址前缀长度必须是64,所以路由通告接口的ipv6地址前缀长度必须配置小于等于64,否则会出现设备没有到自动生成地址的路由,造成数据不转发。
可以通过物理网线相连接,也可以通过虚拟接口如子接口方式相连接。
可以创建最多256个vrf,超出时提示:Error: The total number of vrf has exceeded the maximum size(Capacity reached)。
VRF功能提供了从一台物理路由器变成多台虚拟路由器的功能。设备的VRF功能提供了路由表隔离,接口切换VRF,外部能够正常支持访问已经切换VRF的接口地址,除syslog不支持vrf接口外发外,支持本机报文正确选择对应接口向外主动发送报文。
路由表隔离功能是通过在创建和删除VRF时,同时创建对应的fib表实现的,实现形式就是每个VRF一个独立的FIB表,设备在没有开启VRF功能时,是默认存在一个VRF0结构的,路由表和流表都是从属与该结构。
流表的隔离,是通过在流表结构中添加VRF_ID字段来实现的,功能主要流程为,在流里结构中添加了一个VRF_ID的字段,该VRF_ID字段赋值为报文入接口的VRF_ID,查找流表的时候,比较五元组的同时还需比较VRF_ID是否相同,如果五元组和VRF_ID均相同,则表示查找成功,否则,新建对应的流表。
VRF模块属于设备的功能模块,实现虚拟路由转发功能。
绑定了VRF的接口,仅支持静态路由功能,不支持其它功能,例如动态路由等。
接口加入VRF后,ping本机VRF中的接口地址ping不通,对端直连设备也无法ping通本端VRF接口的地址。
RIP支持v1和v2两个版本。
RIP开启时默认为V2版本,若需要可以手动切换到v1版本。
Ospf不支持pppoe接口。
简单的说我们采用如下策略:
· 如果有loopback接口配置了,就选IP地址数值最大的loopback地址。
· 如果没有配置loopback接口地址,就选IP地址数值最大的物理接口地址。
· 选择完成后不可抢占。
· 我们也可以在启动OSPF进程时同时指定Router ID,如:router-id 1.1.1.1。
· 需要注意的是,如果当前OSPF进程正在运行,Router ID即使是重新手工配置或计算都不会马上生效,而需要OSPF进程重新启动才会生效。这个要求是合理的,因为Router ID对OSPF协议来说太重要,不可能在OSPF保持邻居不断的情况下更新。
· OSPF网络类型是NBMA的,但你忘记在OSPF协议模式下配置邻居了。
· OSPF网络类型是NBMA的,你配置了邻居,但在诸如Frame relay的map语句中忘记加broadcast关键字了,导致协议报文不能到达对方。
· OSPF邻居的hello及dead interval值不一致。
· 在Stub或NSSA区域,有些路由器没有配置成Stub或NSSA。
· OSPF验证配置错误。
· OSPF Router ID有问题,可能和某个其它路由器一样了。
· OSPF链路两端的网络类型不一致。
· OSPF链路两端的MTU相差比较大,尤其注意和不同厂商实现互通时(需要在其接口下配置OSPF忽略MTU检查或修改MTU)。
· 该网络根本就没有启动OSPF。
· 区域号不一致;链路的网络地址不一致,注意检查两边的mask。
其实很简单,也是必须知道的。调试开关是需要打开的,其中最有效,最常用的就是debug ospf packet命令,协商完成后执行display log debug,它能让你对OSPF的大部分问题看的一目了然。当然它也不是万能的,它是在正确接收OSPF报文的基础上才能有相应的错误事件。
当链路接口没有明确配置OSPF cost的时候,Cost按配置的基值除以接口带宽来计算。这个基值缺省为100M,例如10M的链路,cost缺省是100/10=10。显然当运行OSPF的路由器存在多个速率不同的1000M以上的高速接口时候,如果接口没有明确赋予OSPF Cost,按缺省公式自动计算的Cost将都为1,不能反映链路速率。这个时候有一个Bandwidth-Reference的命令,来调节基准值的,但要注意,整个OSPF路由域都要对应调整。因此,最好的方法,还是在网络做好规划,手工对链路接口的Cost赋值。
看起来很奇怪的问题,其实比较有意思。很多人的第一感觉就是:两端的了链路网络类型都不一样,哪能形成邻居关系呢?其实不然。OSPF协议并没有规定,要去严格检查链路的网络类型,链路的网络类型最重要的描述也是在Type 1 LSA中,形成邻居的关系条件检查并没有去检查它。仔细阅读协议并做实验,你会发现不少情况下,比如两台路由器以太网连接,一端保持缺省的广播网络类型,一端配置成OSPF P2P网络类型,肯定是可以形成邻居,并交换LSDB达到Full状态的。但很奇怪的事情是:到达Full状态了,为什么学不到路由呢?其实答案很简单,OSPF路由器需要LSDB来构建SPT(Shortest Path Tree),由于LSDB的数据库是脱节有问题的(在我的Router LSA中,我认为你是个广播邻居;而在你的Router LSA中认为我应该是个P2P邻居),根本无法构建正确的SPT, SPF算法也无法计算出正确的路由。
先看一个问题,简单示意的OSPF网络拓扑,area 1——area0-area2,area1中三条路由:10.1.0.0/16,10.2.0.0/16,10.3.0.0/16,在area1和area0之间的ABR没有配置聚合(将上述三条聚合成10.0.0.0/8),但在area0和area2之间的ABR配置聚合却不生效。这就是跨区域的聚合问题,这个表现是否正确呢?
仔细看下RFC 2328 12.4.3 Summary-LSAs中的描述,我们可以知道ABR产生type 3 LSA时,如果是inter-area,就直接处理,产生相应的type 3 LSA,而不需要考虑配置的range,而在考虑intra-area路由的时候,才要去考虑配置的聚合。
所以,上述描述的结果是正常的现象。区域间路由的聚合是在连接产生该路由的区域的ABR上处理的,而不能跨区域聚合。
从协议的角度上来看,OSPF的虚连接Virtual Link非常有用,一是可以将不与骨干区域直接物理连接的区域连接起来,让它能正常路由,这在一些网络的合并中比较有用;二是可以提高网络的可靠性,让骨干区不至于轻易断开而不能正常路由(RFC 2328中的例子)。
OSPFv3仅提供命令行下配置,可以在界面上查看学习到的路由条目。
如果物理连接和下层协议正常,则检查接口上配置的OSPFv3参数,必须保证与相邻路由器的参数一致,区域号相同。
相邻的两台路由器接口的网络类型必须一致。若网络类型为广播网,则至少有一个接口的DR优先级应大于零。
应保证骨干区域与所有的区域相连接。若一台路由器配置了两个以上的区域,则至少有一个区域应与骨干区域相连。骨干区域不能配置成Stub区域。
在Stub区域内的路由器不能接收外部AS的路由。如果一个区域配置成Stub区域,则与这个区域相连的所有路由器都应将此区域配置成Stub区域。
各项口下进行的功能特性配置,在删除router ospf6主进程后,该接口上的所有配置也将被删除。
OSPF6接口支持配置16个区域;
OSPF6最多支持建立16个邻居;
OSPF6 stub 和filter-list没有限制数量,不推荐大量配置。
query current count: 48977 当前dns并发请求数
query total count: 677413 发送的dns累计请求次数
cache count: 0 缓存数量
local count: 0 设备ping一个域名,成功会+1
dns并发数可以达到1W,设备最多允许接收5W;dns缓存动态5万条,静态和特定域名各128。
dns session 主要影响特定域名。
dns session enable特定域名优先走session。
dns session diable特定域名使用特定DNS服务器进行动态解析。
dns代理缓存达到5w以后,新来的dns请求继续处理并回应请求端;此时不再对新来的dns请求产生的应答进行缓存。
DNS报文数据段>512,dns响应报文不能大于512,对于大于512的响应报文,设备进一步回复给客户,但不进行动态缓存。
接口类型改变后必须去手动修改DNS链路的配置,否则会造成业务不通。
A记录设备最多显示8条,如果超过8,剩下的使用...省略号。
display dns cache和页面支持显示4个具体ip地址,后面()显示总的ip地址个数;命令行下display dns cache + 域名可支持最多显示出8个具体IP地址。
例:
开启DNS透明代理的功能,但是没有配置透明代理的策略,仍会命中透明代理的流程,导致用户无法上网,需要配置dns透明代理策略。
如果域名比较长,在页面的DNS缓存中无法完全显示(无法显示部分...代替),如果想在页面查询这样的域名是无法查询的。
本机报文不走dns代理流程,只需要在全局dns配置一个有效的DNS地址(DNS全局代理可关闭),在设备上就可以ping域名。
开启DNS透明代理或者DNS全局代理其中一个,DNS流量就会正常的进入DNS静态域名,DNS动态域名流程。
debug显示出接口为NULL时表示匹配的特定域名解析,否则显示出匹配的DNS链路出接口,例:
<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.6, out interface = ge4.4021, domain = www.spirentcom.com, retry = 0
<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.3, out interface = NULL, domain = 3.33334.www.spirentcom.com.cn, retry = 0
多条链路,配置基于负载,当某个dns链路出接口没有路由时,还是会负载DNS报文,选到有路由的就发出去,选到没有路由的就发不出去,就会造成部分网络不通。
多条链路,配置基于优先级,当优先级高的没有到dns服务器端路由的时候不会切换到优先级低的dns链路发送,会造成网络不通。
策略中的地址对象会去DNS模块查询匹配,当查询到DNS模块中的IP和域名的对应关系后,在将原策略中调用的域名对象与IP关联来实现策略控制,所以会有短时间的时间差。
(1) 在透明代理模式下,当A经过设备的DNS请求收到响应后,在设备上会产生该域名的动态缓存;如果B再向设备发出请求,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
(2) 在全局代理模式下,当A经过设备的DNS请求收到响应后,在设备上不会产生该域名的动态缓存;如果在B向设备发出请求时,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
是的,由于dns报文被重新组装发送而不是基于会话转发的,所以查询不到。
设备支持DNS 4to6及DNS 6to4的转换,无论是IPv4还是IPv6的DNS请求都会处理。
答:需检查终端发出的DNS请求是否是AAAA,如果发出的是A则是请求IPv4的地址,服务器未配置IPv4地址无法应答。
支持。根据DNS请求的类型进行应答:
· 如果收到的DNS请求是A,则会在一个DNS响应包中回应这两个V4地址,不会回应V6地址
· 如果收到的DNS请求是AAAA,则会在一个DNS响应包中回应这两个V6地址,不会回应V4地址
· 如果收到的DNS请求包括A和AAAA的,则会用两个DNS响应包分别回应A和AAAA的请求。
对于服务质量管理条目建立之前的“最后一次成功率”和“最后一次延时”数据进行补零显示;
进入WEB页面内的“网络优化>服务质量管理”查看探测结果,先确定配置的探测条目tcp端口是否打开。
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
当设备上未配置DNS服务器时会出现以上情况:
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
(1) 接口已经作为镜像规则源接口时不可再配置为其它规则的监控接口;
(2) 接口已经作为镜像规则监控接口时不可再配置为其它规则的源接口;
(3) 源接口和监控接口不能是同一个物理接口,要么配置为源接口,要么配置为监控接口,不能同时配置;
(4) 管理口以及旁路接口不可配置为监控接口;
(5) 在线业务口不可配置为监控接口(在线业务口即为现网在跑正常业务的物理接口)。
(1) 查看接口是否up,只有镜像接口up时才进行端口流量镜像,否则不进行流量镜像;
(2) 设备packet buffer数量使用率超过3/4,可通过display statistics fpa命令中PKI_POOL一行查看当前的使用情况,如果正常业务流量的packet buffer数量使用率超过3/4则镜像功能失效,不再镜像业务流量。
设备packet buffer数量使用率超过3/4,可通过display statistics fpa命令中PKI_POOL一行查看当前的使用情况,如果正常业务流量的packet buffer数量使用率未超过3/4,但匹配镜像功能后超过3/4,则会出现只镜像出部分业务流量的现象。
需要配置多条端口镜像规则,每条规则配置不同的源端口镜像到同一个监控接口, 目前端口镜像规则的源接口、监控接口只允许配置一个物理接口,无法配置多个物理接口。
不支持,由于设备仅仅支持单台模式,因此仅仅支持本地镜像,而不支持远端镜像。
不能。
使用display statistics phy-interface命令或在web页面查看监控接口的发送的流量大小是否等于端口镜像规则源接口所配置镜像方向的流量的大小。
可以,但是镜像前要保证被镜像的源接口的流量小于监控接口真实的物理带宽,否则监控接口发送报文出现拥塞,造成系统大量丢包,影响报文正常转发,造成业务中断,因此建议使用时配置低带宽向高带宽接口镜像,尽量不要高带宽往低带宽接口镜像。
旁路阻断默认状态为关闭状态,需要在部署方式高级配置开启此功能。
在控制策略中配置控制策略为拒绝,并且配置源接口以及目的接口必须配置接收镜像流量的旁路接口或者是any。
控制策略中配置行为为拒绝时,PC无法正常打开外网页面,无提示;如果是url控制或应用控制中配置拒绝会弹出提醒页面。
旁路阻断只针对于TCP报文生效,对于UDP,ICMP等报文无法进行阻断。
对TCP报文的阻断由于是发送reset进行阻断,如果存在外网流量回复速度快于旁路设备发送的reset报文速度,那pc将能够正常打开外网正常上网。
旁路阻断务必保证旁路设备到上网PC可达,否则功能无法使用。
旁路认证默认状态为关闭状态,需要在部署方式高级配置开启此功能。
在用户认证策略中配置的源接口以及目的接口必须配置接收镜像流量的旁路部署接口或者是any。
旁路认证为双向认证,源地址配置是PC访问的目的IP地址也会弹出认证页面。
当配置好旁路认证后,用户访问http网页,向重定向页面跳转时,能跳转URL但是页面无法访问,要确保旁路设备到上网PC要可达,故旁路认证务必保证旁路设备到上网PC可达,否则功能无法使用。
旁路认证对http报文返回http 302重定向报文,让用户访问认证服务器,认证服务器弹认证页面给客户端。
旁路认证对https报文直接发送tcp reset报文进行阻断。
当设备中配置了多条七元组策略时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条策略便结束匹配过程。策略的显示顺序与匹配顺序一致,即按照WEB界面(或者通过display run policy命令)显示的顺序,从上到下一次匹配。同时,七元组策略支持通过命令移动策略位置来调整策略的匹配顺序。
添加或修改七元组策略后,所有的流量都会重新进行策略匹配,以使新的策略生效。
特征库升级结果中出现“特征库加载失败”,此时是由于内存碎片太多或者剩余可用的内存太少导致,目前已经做了优化,建议在特征库升级时配置自动升级,升级时间配置为流量较小的时间点,例如凌晨零点到两点之间。
属于断点续传的有服务器不可达/服务器down/vtysh超时退出(这种情况下,属于断点下载范围。当设备版本下载过程中断掉后,再次开始后从上一次的进度处开始下载)。下载过程中,用户主动断掉(ctrl+c,这种情况不属于断点下载,需要重头开始下载)。
2G及以下内存的设备,抓取的报文文件最大为20M;2G以上内存的设备,抓取的报文文件最大为50M。当用户抓包的报文文件达到最大值或者抓包时间为300s时,系统自动停止抓包,也可以手动停止抓包。
抓取新建会话:新的五元组信息产生的新的流。当高级选项抓取新建会话为2时,指的是一条新建流的前两个包。
是的,抓包功能是基于软件层面的,接口加入到聚合口后,在软件逻辑上来说不在是独立运行的接口了,因此在抓包时需要选择聚合口来抓取相关的报文。
二者控件的差异化所致,默认抓包界面看到的接口选择,因为是单条使用的是系统自带的select控件,该风格和浏览器进行的适配;点击抓取出口报文后,接口因支持多选,使用了JS插外置插件,风格由其主题控制,因此二者无法做到统一
账号管理员:创建/删除/编辑系统管理员账号以及查看自己的操作日志。
权限分配管理员:为系统管理员分配权限以及查看自己的操作日志。
审核员:可以查看所有管理员的操作日志。
系统管理员:对自己已有权限的模块行进操作。
设备由普通模式切换到三权模式后,不能再切换到普通模式。
账号管理员、权限分配管理员、审核员这三个默认管理员的名称不可以修改、但密码可以修改。
设备由普通模式切换到三权模式后,原来的系统管理员和审计员都成为系统管理员,但权限为空。
切换到三权模式后,CLI的控制权限就被回收了,只有如下命令的权限是放开的"exit",
"end","en","enable","ping","configure terminal","interface","no shutdown","ip address","save","display running-config","display version","display running-config","allow access"
"no admin-switch three-power-mode""debug","log"。
支持保存、导出、导入配置文件的格式为.cfg格式(导入时支持web页面导出的.data加密格式的配置文件),只支持保存配置文件的数量为6个,所有配置文件占总存储大小空间为200M。
配置文件保存在CF卡中,当CF卡空间不足以保存配置文件时会进行提示;使用erase startup-config命令清除所有配置重启后不会清除掉保存的配置文件。
可使用display config-list命令查看当前设备保存的配置文件,并且会显示配置文件保存的时间点,顺序按照时间点从最新到最老进行显示排列。
在命令行下使用copy config test.cfg ftp 192.168.2.120 test.cfg导出配置文件时,输入“?”时后面仍会提示输入FTP服务器的地址。如下所示:
这是由于FTP导出配置文件的注册命令是这样2条命令:“copy config LocalFile ftp USERNAME PASSWD A.B.C.D RemoteFile”,“copy config LocalFile ftp A.B.C.D RemoteFile”,
“copy config test.cfg ftp 192.168.2.120 test.cfg”执行的命令给识别为第一条命令了,把IP地址作为USERNAME来使用,所以导致输入?仍会提示输入FTP服务器地址。FTP导出命令是分为2个命令注册的,一个是匿名用户,一个需要输入用户名/密码;在输入IP地址和文件名称时无法区分是否是用户名、密码还是服务器、文件名称。
导入配置文件进行配置恢复时,设备重启过程中配置保存选项要N,不能输入Y,否则设备的运行配置会覆盖导入的配置文件,导致配置恢复失败。
不支持。FTPv6目前只支持从FTP服务器导入文件,即copy ftp的命令,不支持导出配置文件,即copy { running-config | startup-config } ftp 命令不支持FTPv6。
TFTPv6目前只支持从TFTP服务器导入文件,即copy tftp的命令,而不支持导出配置文件,即copy { running-config | startup-config } tftp 命令不支持TFTPv6。
管理员外部认证功能只针对管理员模式生效,三权模式不支持。
外部认证时,只支持选择服务器对象且只能选择一个,不支持同时选择多个,不支持服务器对象组,与系统创建的管理员保持一致。
如果关闭服务器异常开启本地认证后,当设备与外部服务器无法通讯时,管理员将无法登录设备,所以请慎重选择是否需要关闭服务器异常开启本地认证。
如果开启服务器异常开本地认证,当设备与外部服务器无法通讯时,使用设备本地管理员可以登录管理设备。
服务器管理员账号可能没有限制,允许所有的特殊字符,并且账号长度没有显示,因此在登录设备时设备对外部服务器登录账号格式也有校验,故此在外部服务器创建登录账号时要符合设备管理员账号要求。
只有普通模式支持管理员分级分权功能,三权模式不支持分级功能,在三权模式下创建管理员选择自定义角色时不会显示用户组选项。
管理员分级最大支持4个层级,以admin角色为第一层级。
新建编辑管理员时,只有角色选择内置角色(admin、audit)时,不能分配用户组,因为这两个角色可以查看用户组下所有的用户和用户组数据,角色选择自定义角色时,就必须绑定用户组,且不能绑定根组,为了实现不同的管理员只对绑定用户组进行权限管理。
当管理员角色选择内置角色(admin、audit)时,管理员页面列表上创建者和用户组就显示为空;当管理员角色选择自定义角色时,创建者就是当前登录的管理员,用户组就是配置管理员所绑定的用户组。
16个,不支持绑定属性组。
admin角色的管理员可以修改和删除所有管理员,并能操作设备上的所有配置项;audit角色的管理员可以查看所有管理员,只能查看设备上的所有配置项。
自定义角色的管理员只能看到分配给自己的用户及用户组,只有内置角色的管理员可以看到所有的用户、用户组及属性组。
管理员可以给子管理员(孙子管理员、重孙管理员)分配权限和用户组织结构,但是分权的权限和用户组织结构仅限于其已经拥有的权限和用户组织结构。
管理员可以给孙子级或重孙子级管理员分配超过子级管理员的权限或用户组,管理员修改孙子级或重孙子级管理员的配置后,将被修改管理员的创建者为自己,web页面上会有创建者改变的提示信息。
使用内置角色(admin、audit)的管理员登录设备可以看到所有管理员的账号信息,管理员登录设备之后,使用自定义角色的登录员登录设备后只能看到管理员自己、子管理员、孙子管理员、重孙子管理员的信息。
管理员绑定用户组过滤只针对控制策略、审计策略、用户组织结构模块有效,其他模块不进行用户及用户组过滤。
使用新建的管理员登录设备,在配置控制策略和审计策略时,仅能选择当前管理员绑定的用户组下的用户及用户组,any用户只有admin角色的管理员可以选择。
在用户组织结果中创建和移动用户及用户组,只能过滤用户组显示,显示属于这个管理员的用户组织结构,但是无法控制用户及用户组选择的层级,即当前用户/用户组可以选择分配给这个管理员的用户组的上级用户组。
管理员可以看到所有管理员创建的策略,但是只能修改和删除当前管理员自己以及其子级管理员(子管理员、孙子管理员、重孙子管理员)创建的控制策略和审计策略,admin角色的管理员登录设备可以修改删除所有策略。
自定义角色的管理员只能看到当前管理员绑定的用户组下用户以及其子用户产生的日志,主要包括操作日志、控制日志、审计日志三大类,且这三大类日志(操作日志、控制日志、审计日志)导出是导出所有用户产生的日志;其他日志没有区分管理员显示,即所有日志都可以看到;admin和audit角色的管理员可以查看所有用户产生的日志。目前所有管理员登录设备,主页上统计的审计日志条目是所有用户的,没有过滤当前管理员绑定的用户组下的日志。
管理员的父级管理员被删除以后,子级管理员也会全部被删除,对应这些管理员创建的控制策略和审计策略的创建者将全部归属于当前执行删除操作的管理员。
当前登录管理员不能修改自己的角色和用户组,在当前管理员下点击编辑管理员时,角色和用户组会置灰,角色后面的新建按钮也不会生效,用户组后面的选择用户组也不会弹框显示。
管理员可以创建新的角色,但是配置的权限仅限于其自己拥有的权限。
内置的admin管理员无法删除,新建的管理员登录之后可以在管理员页面删除自己,删除之后该管理员之前创建的审计策略和控制策略的创建者会置空,管理员自己删除之后会退出到登录页面。
命令行不支持管理员分级分权配置操作,在命令行创建的管理员、审计策略、控制策略的创建者都为空。
当审计策略和控制策略的创建者为空时,所有有编辑权限的管理员都可以进行对此类策略进行编辑操作。
对于设备开启管理员外部认证,如果用户名账号在第三方(radius服务器或ldap服务器上),本地不能分配角色,默认指定角色为admin,但是该管理员登录设备不能看到所有管理员也不能创建本地管理员,且不能修改其他管理员创建的策略;如果本地配置了第三方服务器上的账号并分配了角色,使用该账号登录时则使用分配的角色。
子级管理员无权限编辑修改父级管理员创建的审计策略和控制策略,父级管理员可以编辑修改子级管理员创建的审计策略和控制策略,修改之后策略上的创建者不改变,如果修改的策略用户比当前子级管理员绑定的用户组范围要大,当子级管理员编辑该策略时会有对应的提示,必须修改正确的用户之后才能提交成功。
三权模式下,新建的管理员分配了管理员配置权限之后,使用新建的管理员登录设备之后可以创建新的管理员。
普通模式切换到三权模式,或三权模式切换到普通模式,删除所有切换前的管理员及角色,切换后创建内置角色和管理员账号,所以密码都会恢复到设备初始密码;切换模式前创建的控制策略和审计策略在切换模式后创建者都会置空。
首页模块分级分权链接跳转需要依赖其被跳转链接所属模块权限,例如:查看首页审计日志详情,该日志属于数据中心模块,角色需要分配主页和数据中心权限,才可有权限查看。违规用户数依赖控制策略里的应用控制阻断和URL过滤阻断,需要分配主页、控制策略。流量分析模块依赖流量控制策略。
页面右上角的按钮不属于分级分权,所以不控制。
首页上的设置按钮只是查看页面模块的布局,分级分权不控制。
自定义角色的管理员在可管理的通道内可以配置匹配当前设备组织结构内的所有用户和用户组。
可以通过在本地创建一个同名账户,并分配流控策略的角色。 将本地同名管理员指定到一级通道后,外部同名管理员就能管理对应通道了。
管理员发生删除或变更为不具备流控策略管理权限时,原有的流控通道管理员的指定关系会被删除。 最新操作者信息不会变化。
管理员的父级管理员被删除以后,子级管理员也会全部被删除,原有的一级通道管理员指定关系会解除,对应这些管理员创建的通道不会被删除。
告警事件的全局开关就是“启用事件告警”,取消勾选后整个功能处于关闭状态。
会话警告阈值规格是按照设备的会话规格统计的,例如设备会话限制30W,会话警告阈值就最大值就是30W条。
一般情况下,用户密码是指发送地址的邮箱登录密码,但是因为部分邮箱设置了第三方授权登录码的,密码这块就需要填写授权码。
首先检查是否配置DNS,确认与邮箱服务器正常连接后,可以点击测试邮箱有效性,如果收到邮件证明配置填写无误,如果未收到邮件,则是配置填写有错误。
重置会回到前一次的配置,并不是清空配置。
不会,只有在设备主页系统状态页面会弹窗告警。
记录到1W条日志时,会删除最初的1000条。
仅Web页面可配置的告警项(CPU告警、内存告警、硬盘告警、会话告警、整机流量告警、电源告警)触发事件恢复后会产生相关的恢复告警。
比如CPU利用率超过80%且持续时长为1分钟,CPU利用率降下来之后,会弹出如下告警:
“CPU利用率恢复正常,恢复到阈值80%一下。”
LDAP服务器上的用户登录失败,需等5分钟才会有告警日志,且5分钟之内该用户不能有登录成功的记录。
是的,目前针对一些可能会影响业务的情况,只要启用事件告警就会记录告警日志,具体包括设备重启、接口up/down以及HA切换等。
这个是由于发送到qq邮箱的邮件较多时,QQ邮箱服务器会认为是垃圾邮件不接收给打回,导致邮箱收不到告警邮件,出现此问题时可通过开启debug smtp-client查看到如下debug信息进行确认:
554 DT:SPM 163 smtp5,D9GowABXb3Mszp1cV60HAA--.10S2 1553845804,please see http://mail.163.com/help/help_spam_16.htm?ip=220.249.52.178&hostid=smtp5&time=1553845804。
已去勾选授权提醒勾选框,为什么登录的时候还是出现授权提醒弹框?
弹框提醒不受告警配置中授权提醒勾选框控制。
授权提醒勾选框,只控制授权提醒的邮件以及告警日志产生与否。
授权提醒,只会在每天9点把授权提醒告警信息发送给邮件,再通过邮件方式发送给指定邮箱,告警日志也只会在每天9点产生。
今日不再提醒配置,其只控制弹框信息,不会控制邮件或者告警日志。
HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。
随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,
网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益
成为受关注的焦点。
在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、
提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。
目前产品支持两台网关设备以主-备模式运行。
主备模式是指实现HA的两台设备中, 一台作为主设备, 另外一台作为备设备。主设备在进行业务的同时, 将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。
在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。主备设备之间通过HA心跳线同步状态信息,配置信息以及特征库文件。
主备模式支持路由模式和透明模式。
主主模式是指实现HA的两台设备中, 两台均为主设备。主设备在进行业务的同时, 将流表信息和认证用户信息同步到对端。当其中一台设备出现故障或链路中断时,另外一台设备作为故障设备的备份,接管原主设备的工作,实现网络业务的无缝切换。
在主主模式下,两台设备均工作,转发流量。主主设备之间通过HA心跳线同步状态信息。
主主模式支持路由模式和透明模式。
HA主备的工作状态主要有两种,主模式和备模式:
· 主模式是指在设备HA主备模式中,实际参与工作。
· 备模式是指设备在HA主备模式中,作为主设备备份,不参与实际工作。只有当主设备失效,才转换为主设备,接替其工作。
HA主主的工作状态为主模式:
· 主模式是指在设备HA主主模式中,两台设备均参与工作。其中一台设备出现故障,另外一台承接出现故障的业务。
HA中,主要有两种接口概念:
· HA接口:连接两台HA设备的接口,不参与报文的转发,只用于HA设备接收心跳报文和同步报文使用。
· 监控接口:HA必须重点关注的设备接口,如果此接口状态为down,表明网络状态发生故障,需要切换主备设备来修复故障。
· 非抢占方式:如果备份组中的路由器工作在非抢占方式下,则只要主路由器没有出现故障,备设备不会主动成为主设备。
· 抢占模式:抢占模式时指用户可以根据需要,制定某一台设备优选为主设备或者为备设备。如果配置优选为主设备的设备工作正常,即使当前设备为备状态,也要“抢占”成主设备。
· HA的两台设备抢占模式必须匹配。或者全部配置成非抢占模式,或者一个配置成抢占为主,一个配置成抢占为备。否则HA无法正确协商。
为了避免HA设备频繁进行主备状态转换,备设备在网络状态恢复为正常状态后,也不会马上抢占为主,而是在流表等信息同步完成后,等待一定时间。只有在这段时间内,设备依然正常,才会通知主设备,抢占成主。
HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。
处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。
HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息,设备配置,特征库。
· session信息:包括设备连接表、fdb、用户信息、PKI。
· 设备配置:同步的设备配置中不包含HA配置信息,以及一些特殊的配置。
· 特征库:特征库包括IPS特征库,AV特征库,APP特征库以及URL特征库。
· 当设备启用HA主备模式后,设备进入init(初始化状态)。在这个状态,设备不参与报文转发,只接受对端HA设备的keepalive报文。如果收到了主设备发出的keepalive报文,设备会进入备状态。如果没有收到keepalive报文,设备会进入主状态。
· 如果设备成为主状态后,会向外发送免费arp报文,用来更新上下游设备的arp表(工作在路由模式),或者向外发送特殊的报文刷新上下游交换机的fdb信息(工作在透明模式)。
· 如果设备成为备设备,设备会清除自己的fdb表(如果工作在透明模式),并且向主设备请求状态信息。
当设备启用HA主主模式后,设备进入init(初始化状态),然后状态置为master。设备收到对端发来的keepalive报文,两端设备协商参数。建立master邻居后,靠心跳报文保持邻居关系,并启动定时器。若在定时器(定时器时间为interval *retry次数)时间内,未收到心跳报文,则状态置为master(A)。出现故障的设备状态置为master(N)。master(N)状态的设备,监控接口不参与报文转发。
· 两台设备必须型号一致,板卡一致。
· 两台设备的序列号要求不一致。序列号一致建不起来邻居。
· 查看心跳线接口状态是否正常。
两台设备均配置监控接口,当其中一台设备的接口down掉后,两台一台设备的接口将对端地址代理,代理地址置为active,此接口参与出现故障设备的业务转发。
Ha主主环境下,流表信息同步,某种业务的控制报文走的其中一台主主设备,数据报文可以从另外一台设备收上来。
低端硬件型号不支持硬盘,如果主设备上插了U盘或移动硬盘,而备设备上没有,这样主设备上就会下发非经的配置,备设备由于没有硬盘就不会下发配置的配置,这样就会导致主备手动配置同步后,由于主设备上存在非经的配置,会导致配置对比始终不相同,如果出现此现象,拔掉主设备的U盘重启即可。
HA主备模式下,配置与特征库相关的策略时,需保证主备的规则库相同,否则由于两边特征规则不一致会出现配置不相同的情况,尤其在特征库升级,主机升级完成备机还未升级完成时,包括与应用特征库、IPS特征库、AV特征库、WAF特征库等相关的配置模块。
由于HA同步消息需要依赖于dp内存和HA心跳口的物理带宽,大部分需要同步的消息都是会话同步消息,与具体的流量有关系;不同的流量所需要的带宽大小也不一样,心跳口带宽不够会导致消息不同步,dp内存过高时同样会导致消息不同步, 因此在HA使用中必须保证HA口带宽足够(HA心跳口带宽推荐为现网实际流量大小的3-5倍),否则无法在HA环境下正常运行。
在HA备机重启过程中由于配置较多或CPU繁忙,心跳接口UP后HA主备状态未建立时由于主备接口的IP地址相同,可能会短暂的报地址冲突,HA主备状态建立好之后,恢复正常。
如果在主机升级低于备机的特征库,主备的特征库无法同步主备的特征库无法同步。
这种情况下,将主机升级高于或者等于备机的特征库,主备的特征库版本可以同步一致。
当HA主备机配置抢占模式后,如果主机重启过程中,备机的配置进行了修改,当主机重启后会比对配置文件,如果不一致,主机将不进行抢占。
HA主备环境中,配置同步项在备机上不允许修改配置,配置不同项在备机可以进行修改。
不支持,LLDP相关配置支持HA,邻居不支持HA同步。
接口从地址能配置为相同网段的不同IP,不会发生冲突,这是业内的标准实现。
UTF-8编码格式,是变长的编码格式,具体如下:
占2个字节的:带有附加符号的拉丁文、希腊文、西里尔字母、亚美尼亚语、希伯来文、阿拉伯文、叙利亚文及它拿字母则需要二个字节编码。
一个UTF-8数字占1个字节。
一个UTF-8英文字母占1个字节。
一个中文字符占3个字节的长度。
部分功能模块支持~及特殊字符,为避免出现影响配置恢复的现象,在无特殊情况下建议规避输入特殊字符。
是的,加入到域的物理口是无法加入到聚合口的,同样如果物理口加入到聚合口后也就无法再将此物理接口加到安全域了。
· 问题原因:设备不支持动态聚合,交换机支持动态聚合。
设备聚合口发包逻辑是:
逐包模式:根据加入顺序,遍历当前所有up的口,依次发包。由于先加入1g口(对端静默,即up但不收包),再加入10g口,导致报文从1g口发出,但对端未处理,从而导致部分不通。
逐流模式:根据五元组(或部分key)hash,得到固定的发包接口index。当前报文hash到1g口,导致不通。
· 解决方法:千兆和千兆聚合、万兆和万兆聚合。
如果同一个安全域内的接口不全在一个网桥(部分接口在一个网桥,部分接口工作在三层),这些接口需要跨三层互访或与其它三层接口互访时,需要将相应的接口加入到安全域内。
如果需要通过控制策略或审计策略调用安全域进行三层流量控制或审计,并且安全域内的接口存在加入网桥的情况时,需要将接口对应的网桥接口加入安全域。
不可以,串口下必须按照源IP、目的IP、源端口、目的端口的顺序配置。
· L2TP内层协议识别功能默认关闭,可通过audit l2tp enable命令开启。
· L2TP内层协议识别只支持单包内层协议识别,因此存在内层协议识别不准确的情况。
· 应用流量会识别分2份,一份是L2TP应用流量,一份是L2TP内载具体应用流量,会导致应用总流量比实际接口流量统计多的情况。
· L2TP内层协议审计,不支持解密,所以如果L2TP内载应用是加密流量,则无法进行内容审计。
· L2TP内层协议控制只支持通过IPv4控制策略匹配条件中用户、源接口/域,目的接口/域,源地址、目的地址、服务条件进行阻断,其他如入侵防御、病毒防护、URL过滤、应用过滤等都不支持阻断。
配置大于1万个子接口且部分接口带IP地址,设备重启会比较慢,每个带IP的接口UP需要约0.5s,如果有4000个带IP的子接口大概需要5-6分钟。
设备功能满规格配置本身会占用大量的cp内存,尤其是:子接口、地址对象、服务对象、URL、报表、安全分析、控制策略、审计策略,如果设备大量功能同时配置满规格,会进一步导致CP内存严重消耗,此外设备在承载业务流量转发运行过程中,还会涉及HA配置定期分析比对以及日志大量入库、报表和安全日志汇聚等周期性任务频繁操作数据库的行为,会导致CP内存极大概率达到80M临界值出现NMI重启。
规避该问题的方法如下:
(1) 当设备内存不足时,对数据库连接和数据入库增加限制,对其他周期性运行的任务申请的内存进行限制,此方案需要大量修改现有的代码机制,风险极高,且无法从根上解决问题,因为设备内存本身是有限的,无论阈值设置为多少,在测试场景中一定可以构造出极端的配置和业务流量来耗尽内存导致NMI。
(2) 精简策略:避免满规格配置,按照用户真实需求来配置,设备完全可以满足用户实际场景的使用。
部分视图或者命令下输入ctrl+c会出现无法输入别的字符的情况,可以通过点击空格键进行规避。
部分页面从命令行进行启用禁用全局开关操作后,页面点击刷新不会更新toolbar信息只会更新表格数据,需要进行切换页面才能显示。
所有版本及配置支持向上兼容,不支持向下兼容,为避免反复升降级版本或切换版本后出现配置丢失显示异常等问题,务必在低版本升级之前先将配置文件导出备份,后续版本进行降级时直接导入备份的配置文件即可确保配置恢复和显示正常。
(1) menuboot下已经格式化的硬盘分区被删除,然后启动支持该功能的版本,打开WEB会提示格式化硬盘。
(2) menuboot下硬盘分区格式化成FAT,然后启动支持该功能的八本,打开WEB会提示格式化。
页面提示格式化,格式完毕后会自动重启,重启后硬盘会自动挂载,WEB页面不应再有提示格式化硬盘的提示。
支持UI格式化挂载硬盘的功能,如果硬盘没挂载成功,设备启动后登录页面时会直接返回显示硬盘格式化的操作按钮,可以实现一键格式化挂载。
UI上是否显示硬盘是依赖于数据库能否正常连接上,连接不上不会显示,如果数据库创建失败,则会导致硬盘无法显示,处理方法如下:
recover database重新创建数据库或格式化硬盘即可恢复正常,出现此现象一般是由于两个版本的数据库差异太大导致数据库创建失败,如果升级前后的两个版本差异太大,请升级版本后清库重启。
页面提示格式化,格式完毕后会自动重启,重启后硬盘会自动挂载,WEB页面不应再有提示格式化硬盘的提示。
本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>
支持
