- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath AFC2000-G2系列异常流量清洗系统
用户FAQ
Copyright © 2024新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
集群部署时为什么需要同步口,同步口与管理口在功能上有什么区别?
用户想通过过滤规则实现某个服务器地址外部无法ping通它,它却可以ping通外网,需要如何设置?
如何配置一段地址或一组不连续的服务器地址按它们总流量排名进行黑洞牵引?
黑洞牵引配置有多条时,对每条规则的牵引判断顺序是怎样处理的?
IP动态黑名单、动态白名单、静态黑名单、静态白名单有什么区别?
旁路模式牵引口或源口回注端口上一跳地址ping不通如何解决?
license申请时提示“根据设备信息文件生成设备S/N时出错,请检查您的设备信息或设备文件是否正确”
系统通过“https://IP/role/”切换为“节点”后,登录页面显示404:
Bypass插卡插在不支持的插槽上,网口有时可以up,有时不能up是什么原因?
全局syn flood参数已配置为0,但是当有syn flood攻击时,依然会拦截syn flood攻击是什么原因?
登录浮动管理IP后,点击应用网口配置后上下联的长ping会断几秒钟是什么原因?
在任意输入框中输入完信息后点击确定、保存等按钮提示请求无效是什么原因?
集群部署时管理设备与节点设备调换后,页面显示牵引模块配置为空,业务流量仍然被牵引到AFC设备是什么原因?
【系统配置-平台设置-系统升级】页面,上传bin包后,进度条不到5%,提示“解压升级包失败,请检查安装包”
P03版本升级后页面显示100%,90秒内页面显示空白是什么原因?
vlan接口配置绑定接口为聚合口,但是配置不生效是什么原因?
流量日志与CPU内存日志查询后取消其中一个选项(如CPU余量、内存使用率或输入、输出)后移动鼠标浮动信息不显示或不再改变怎么解决?
导入或新增相同客户端IP的静态黑名单后,数据检查提示:同步失败
旧版本设备升级至P04版本后bond模式显示为升级前模式,但下拉框只有动态和静态是什么原因?
导入license后显示剩余天数与license实际天数不符是什么原因?
命令行手动down网口后,重启设备或网口配置应用配置,网口状态变为up
新增应用规则,输入IPV6地址后,直接点击保存,提示:请输入正确的起始IP
将攻击源和服务器添加到动态白名单,还是存在攻击拦截是因为什么?
添加用户信息,提示:登录名必须在6至20个大写小写字母或者数字组成,不能包含特殊字符,不能包含空格
动态白名单添加源ip信息,服务器配置出向拦截策略,出向流量还是被拦截
集群部署模式下,全局状态-连接监控,选择批量加黑,规则没有下发到所有设备的动态黑名单列表
集群部署两台设备,设备A删除DNS动态缓存信息,设备B上还存在
down设备串联外网口的上游交换机网口,重新应用配置或重启系统后,串联内网口状态为Up
网口配置页面修改管理口ip并应用配置后,插拔管理口网线,配置后IP 不通是什么原因?
AFC设备上架后,00:00、06:00出现网口down/up情况,大约1秒钟网口状态恢复正常?
【日志中心-日志中心-链路变化日志】页面中存在大量的电口业务口up/down日志
网口配置页面修改管理口ip,点击应用配置,等待较长时间后提示:操作失败
集群以及主备模式下不支持开启应用安全;2020-G2、2040-G2型号设备不支持开启应用安全;应用安全不支持ipv6地址
两台设备串联部署使用电口做业务口,开启主备后,设备角色发生切换时,业务大约中断20个包
AFC只支持一个管理口,2040型号设备管理口为GE0/7,其他型号设备管理口为GE0/0
AFC设备进行系统升级,升级页面10%之后页面显示为空,且web页面无法打开
设备版本升级成功后频繁出现端口震荡、主备频繁切换等现象该如何处理?
输入框中输入完信息后点击确定,保存等按钮后显示请求无效是什么原因?
Snmp配置中只读权限组名称和读写权限组名称提示:不能包含特殊字符
导入license后显示剩余天数与license实际天数不符是什么原因
添加用户信息,提示:登录名必须在6至20个大写小写字母或者数字组成,不能包含特殊字符,不能包含空格
AFD设备进行系统升级,升级页面10%之后页面显示为空,且web页面无法打开
UDP业务(视频、IM)客户反馈它的IP地址放到数据中心内时,业务跑不上去,只有加直通时才可以,需要如何处理?
网站服务器被CC攻击,加HTTP小尾巴插件后无效果,动态白名单量很大,怎么解决?
如何封停所有服务器的常用VPN服务(如PPTP、L2TP、IPSEC等协议)?
如何查看或导出服务器的攻击源地址、攻击源区域、攻击源线路等信息?
如何封服务器IP(不让服务器IP访问外网,同时也禁止外部地址访问服务器)?
AFD设备手动引流牵引某IP后再将该IP手动牵引进黑洞,为什么交换机只显示引流牵引,不显示黑洞牵引?
AFD设备在镜像模式下将某IP牵引进黑洞后为什么服务器列表中还会有该IP的流量?
异常流量清洗系统用户FAQ
本文档介绍异常流量清洗系统产品的用户常见问题及解答。
异常流量清洗系统集群部署需要同步口,同步口用来做数据同步使用,如动态黑白名单、会话连接、规则等数据。
同步口与管理口之间的区别在于管理口只能用来做管理,同步口是每台设备之间同步配置用的数据口。
静态黑名单格式:
“加黑IP1-加黑IP1-加黑IP2-加黑IP2-备注”
例:192.168.1.1-192.168.1.1-192.168.1.2-192.168.1.2-备注
动态黑名单格式:
“加黑IP1-服务器IP1 加黑时间加黑IP2-服务器IP2 加黑时间”(如果是手动添加则加黑时间为0;服务器IP与加黑时间之间为一个空格;加黑时间与下一个加黑IP之间没有空格。)
例:100.100.100.100-192.168.1.1 9999100.100.100.101-192.168.1.2 0
静态白名单格式:
“加白IP1-加白IP1-加白IP2-加白IP2-备注加白IP3-加白IP3-备注”(IP与IP之间全部用“-”隔开;IP与之相对应的备注之间用“-”隔开;备注与下一个加白IP之间没有空格。)
例:200.200.200.200-200.200.200.200-200.200.200.201-200.200.200.201-备注200.200.200.202-200.200.200.202-备注。
影响版本:E6401-E6401P01。
· 每个IP地址最多可以加10个应用规则、10个过滤规则;
· 每个应用规则内可以添加10个防护规则集,可包含10个端口组;
· 每个防护规则集可以添加10条防护规则;
· 异常流量清洗系统整机最多支持2000条应用规则、1500条过滤规则。
用服务器地址1.1.1.1举例说明:
打开异常流量清洗系统点击【规则配置】-【过滤规则】点击【添加】填写如下图后点击保存
图1 过滤规则(禁ping)
名称:自定义
外部地址类型:选择任何地址
内部地址:1.1.1.1
协议:选择ICMP
ICMP类型: 填写“0”后勾选检查ICMP类型
ICMP代码:填写“8”后勾选检查ICMP代码
方向选择:勾选接收
行为规则:勾选拦截
添加一条本地牵引策略:【防护配置】-【牵引配置】-【黑洞牵引规则】如下图所示:
图2 黑洞牵引规则
名称:自定义
触发策略阈值持续时间:0秒,表示立刻触发牵引
牵引时间计数周期:0天,0表示无限期
初次牵引时间:10分钟,表示触发了策略阈值时会被封10分钟。
流量限制:100000Mbps,表示本策略的阈值为100G。
自动反牵引模式:默认模式一
牵引下限:默认0。当本策略里所有IP的流量总和达到了阈值后,会检查流量排名第一的服务器IP的流量是否大于该值,只有大于该值,才会对该地址扫行牵引。
加入路由过滤规则:默认不勾选 。
牵引设备操作:添加封黑洞时所使用的牵引操作。
IP过滤策略:策略监控的IP地址段。当触发阈值时,按照流量排名最高的,进行牵引并依此类推。
图3 图 3 牵引日志记录
检查牵引设备操作列表中的命令,没有打印出来的可能是命令错误导致的。
图4 设备检查MAC地址
设备旁路部署时才能学习到对端MAC地址,串联部署时学习不到对端MAC地址,所以显示全为0。
黑洞牵引如果配置有多条时,当某个服务器列表下的 IP 触发黑洞牵引规则时,黑洞牵引规则列表中的每条规则会依次从上到下的顺序判断并进行对牵引操作的处理。
1、添加方式不同
静态黑白名单为管理员人工添加的外网ip,静态黑白名单为永久有效。
动态黑白名单为防护规则中设置的触发规则条件后加白或拦截的外网ip,动态黑白名单有信任时间。
2、优先级不同,以下顺序从高到低
静态白名单>过滤规则>动态黑白名单>静态黑名单。
打开异常流量清洗系统点击【规则配置】-【规则集】点击该规则集后面的编辑按钮,然后勾选设置默认规则按钮“是”然后点击保存按钮:【防护配置】-【规则配置】-【规则集】,如下图所示:
图5 默认规则集
保存之后可以在添加【应用规则】时,“默认防护规则集列表”里看到该规则,如下图所示:
图6 应用规则
取消:【规则配置】-【规则集】点击该规则集后面的编辑按钮,然后勾选设置默认规则按钮“否“之后保存。如下图所示:
图7 规则集
(1) 直通。直通优先级是最高,给服务器设置了直通,所有发给该服务器的流量将直接转发给服务器,不做任何清洗过滤。
(2) 静态白名单。
(3) 全局过滤模块。过滤模块:udp、syn、other、tcp_check、icmp等
(4) 过滤规则。
(5) 动态黑白名单
(6) 应用规则。给服务器上添加规则集。
(7) 域名插件。对服务器上的域名进行管控。
(8) 静态黑名单
(9) 滤后限速。基于单台设备,对一个服务器IP的下行流量做最后的限速。
异常流量清洗系统打开【防护配置】-【域名过滤】-【域名过滤设置】域名过滤模式分三种:
1.默认为关闭批注:异常流量清洗系统对数据中心内域名不进行监控。
2.开启白名单批注:异常流量清洗系统对添加在【域名白名单】的域名进行放行,不在则拦截。
3.开启黑名单批注:异常流量清洗系统对添加在【域名黑名单】的域名进行拦截,不在则放行。
怎样设置黑名单过滤提示信息?
打开【域名过滤】-【域名过滤提示信息】中进行设置即可。
图8 域名过滤提示信息
通过过滤规则来实现
如实现仅允许中国河南省访问IP:1.1.1.1
第一步:打开异常流量清洗系统点击【规则配置】-【过滤规则】点击【添加】,配置如下图所示之后点击保存:【防护配置】-【规则配置】-【过滤规则】
图9 过滤规则(指定地区访问)
名称:自定义
外地址类型:勾选<地理位置排除>,<亚洲>,<中国>,<河南>
内部地址:1.1.1.1
行为规则:拦截
(1)查看设备(页面查看【系统配置】-【设备】-【设备管理】-【配置】-【网口状态】)和互联设备网口(客户查看)是否down,排查网线和模块是否有问题。
(2)确认自己在设备上的配置没问题(IP、掩码),配置完成是否有应用配置,是否能学到上一跳mac(页面查看【系统配置】-【设备】-【设备检查】)
解决方案:
(1)进入【系统配置】-【设备】-【设备管理】-【配置】-【网口配置】页面,重新应用网口配置信息
(2)AFC2200-G2、AFC2400-G2型号设备更换插卡槽位,插在1/2/5/6槽位后重启设备。
打开异常流量清洗系统点击【客户群组】-【群组列表】点击【添加】然后自定义群组名称,在【群组邮箱】里填写要接收的群组邮箱,在【邮件提醒开关】里勾选"牵引"然后在【设置ip段】里选择单一ip,并在IP参数1里写上该ip并点击后面【添加】按钮,之后保存,如下图所示:
图10 群组邮件
解决方案:
1、华三官网下载最新版本补丁包
2、登录web界面,按照升级指导进行系统升级
3、升级成功后重新下载设备信息文件,并再次申请license
影响版本:AFC所有版本
可能原因:
(1)按照不同型号设备的插卡数量检查是否存在超量网卡现象
(2)设备系统异常;
解决方案:
(1)符合插卡接口数限制后重启设备
(2)进入web页面【系统配置-设备管理-设备】页面,点击操作栏【配置】按钮,进入【网口配置页面】,点击【应用配置】按钮,再次检查进程;若依旧 异常请联系华三技术支持;
图11 license配置页面
影响版本:AFC所有版本
可能原因:管理口没有应用配置;
解决方案:
方案一:
(1) “系统配置-设备管理”页面,点击【配置】
(2) 进入网口状态页面,管理口点击【修改】
(3) 添加网关保存后,点击【应用配置按钮】,再次进行系统升级
方案二:
(4) 登录串口,按照《命令行指导手册》1.1.9、1.1.10章节进行配置
(5) web页面再次进行系统升级
影响版本:AFCE6401和AFCE6401P01。
E6401版本中串口命令行不支持以下字符密码:>、.、*、,、<、"、\、/、(、!、=、~、`、$、+、-、
规避措施:
方案一:web登录密码修改为不包含以下字符的密码:>、.、*、,、<、"、\、/、(、!、=、~、`、$、+、-、
方案二:升级E6401P01版本及以上版本
影响版本:AFCE6401和AFCE6401P01。
第一种可能性:攻击日志阈值设置过高
打开异常流量清洗系统点击【防护配置】-【系统配置】-【参数设置】查看日志阈值设置是否过高,如下图所示:
图12 攻击日志阈值
第二种可能性:全局触发规则设置的过大
在排除第一种之后,要查看是否是因为全局触发规则设置的过大,防护模块没有触发到所以不会产生攻击日志.打开异常流量清洗系统点击【规则配置】-【全局触发规则】可以点击编辑查看。
第三种可能性:被攻击的ip不经过设备
在排除第一二种可能之后,检查客户提供的被攻击ip是否经过设备。
【防护配置】-【全局状态】-【服务器列表】输入被攻击ip进行搜索。
版本升级会升级组件,等待30秒即可打开页面。
影响版本:AFCE6401P02、E6401P03、E6401P04版本。
注:升级6401P03、6401P04版本升级页面一直打不开是因为升级后系统自动重启,待系统重启后即可打开页面。
2021年8月15日前出厂的四口万兆插卡(物料型号为NSQM1IPCTG4A)未进行升级;当只插模块却无光纤时会导致系统启动失败;网口配置页面无网口信息
规避措施:移除未接光纤的模块并重启设备;升级版本至E6401P02以上版本
影响版本:AFCE6401、E6401P01。
产生原因:1、插拔管理口网线;2、插拔设备电源;3、插拔网卡
恢复措施:
1、进入串口命令行重新配置管理口ip和网关,执行命令参考如下:
配置管理口GE0/0 ip为192.168.0.2:ip address interface GE0/0 192.168.0.2/24
配置管理口GE0/0的网关192.168.0.1:ip gateway 192.168.0.1
2、登录web页面,进入【系统配置-设备-设备管理】页面,点击【配置】,配置GE0/0 网口(2040为GE0/7网口)ip地址以及网关信息,点击【应用配置】
建议升级版本至E6401P02以上版本。
影响版本:AFCE6401P01、AFCE6401版本。
影响页面:网口配置、系统升级等二次校验的页面
提示信息:弹窗提示“提交失败”
产生原因:用户密码校验不支持以下特殊字符导致提交失败,包含特殊字符有:>、.、*、,、<、"、\、/、(、!、=、~、`、$、+、-、
规避措施:避免使用以上特殊字符
影响版本:AFCE6401、E6401P01版本。
版本升级会升级组件,等待30秒即可打开页面。
影响版本:AFC所有版本。
现象描述:设备状态显示内存只剩下100M
规避措施:升级到最新版本
影响版本:E6401、E6401P01、E6401P02、E6401P03。
现象描述:服务器列表空
可能原因:license无效,
恢复措施:重新导入license。
影响版本:AFC所有版本。
P02版本设备支持满载插卡,但对网络通道数有限制(除管理口与同步口外):
2020:4个;
2040:8个;
2100:2个;
2200:4个;
2400:8个。
影响版本:AFC E6401P02版本。
现象描述:系统切换为节点,web页面无法访问;
图13 页面报错
产生原因:节点设备没有web页面
恢复措施:1、在有控制权限的主设备“设备管理”页面添加该节点设备,并激活;
图14 添加并激活设备
2、点击该设备行操作栏中的“切换为一体机”
图15 切换为一体机
现象描述:页面出现404报错无法返回登录
图16 页面报错
可能原因:浏览器存在缓存
恢复措施:清理浏览器缓存后重新登录系统。
影响版本:AFC所有版本。
可能原因:部分款型路由器默认开启了快转负载分担功能。
恢复措施:关闭快转负载分担功能。
undo ip fast-forwarding load-sharing
影响版本:AFC所有版本。
可能原因:插拔网卡;重启设备
恢复措施:网口配置页面点击【更新配置】即可显示网口信息。
影响版本:AFC所有版本。
可能原因:Web页面及串口命令行最多显示32个网口(管理口除外),因此可能会出现某些插卡网口显示不全。
规避措施:业务口数在当前使用限制中。
影响版本:AFC所有版本。
产生原因:网卡上有寄存器,会自动保存上次的配置
解决措施:如果网口需要保持UP状态 ,就需要保证插卡拔下来的时候网口是UP状态。
影响版本:AFC所有版本。
可能原因:删除设备会将该设备相关的网口信息、路由信息删除。新增删除设备二次确认机制。
解决措施:重新进行配置网口及路由
影响版本:AFC所有版本
现象描述:串联设备开启端口聚合后网口频繁up/down
可能原因:端口聚合可能开启的是动态端口聚合
恢复措施:端口聚合分为动态端口聚合和静态端口聚合;当前版本串联环境中只能使用静态端口聚合,若使用动态端口聚合会导致网口出现频繁up/down的现象;两个万兆口静态聚合,后台bond口速率显示为20M/s,因为每个口默认速率为10M/S。
可能原因:修改规则后,新增规则勾选全局过滤模块中的syn flood攻击
恢复措施:修改全局过滤模块参数为0,新增应用规则时,全局过滤模块中的syn flood默认不勾选;手动勾选syn flood后,流量匹配默认的全局过滤参数。
影响版本:AFC所有版本
可能原因:网卡处于重启状态中
恢复措施:应用网口配置会重启网卡,所以上下联的长ping会断(主备设备不会切换)。
影响版本:AFCE6401P02、E6401P03、E6401P04
可能原因:输入框中存在特殊字符
恢复措施:检查输入框中是否包含特殊字符。
影响版本:AFC所有版本
1、实现目的
原集群:https://192.168.88.93/(管理设备)https://192.168.88.95/(节点设备)
调换管理设备后:https://192.168.88.95/(管理设备)https://192.168.88.93/(节点设备)
2、操作步骤:
(1) 排查原设备是否存在牵引信息,若存在执行步骤二三,否则执行步骤四
(2) 登录原管理设备:https://192.168.88.93/,将引流牵引及黑洞牵引的条目记录并全部反牵引:
图17 删除牵引条目
(3) 将管理设备及节点设备的路由模块全部关掉并将路由条目删除(以bgp为例):
图18 关闭路由条目
(4) 点击[系统配置]-[设备管理],将节点设备(https://192.168.88.95/)切换为一体机:
图19 切换一体机
(5) 将原管理设备(https://192.168.88.93)切换为节点设备:
浏览器输入https://设备ip/role
注:该步骤的前提是https页面登录成功
图20 切换节点设备
(6) 在https://192.168.88.95上将https://192.168.88.93添加进集群:
图21 添加节点设备到集群
(7) 将路由模块开启:
图22 bgp路由模块
(8) 重新对原规则进行牵引:
图23 手动牵引
现象描述:集群部署时管理设备与节点设备调换后,页面显示牵引模块配置为空,业务流量仍然被牵引到AFC设备
可能原因:两台AFC设备为集群部署时管理设备和节点设备发生了调换,举例:
调换之前https://192.168.88.95/为节点设备,https://192.168.88.93/为管理设备;
调换之后https://192.168.88.95/为管理设备,https://192.168.88.93/为节点设备;
配置是存在管理设备的数据库中的,所以调换之前的牵引等配置保存在https://192.168.88.93/的数据库中,调换完之后https://192.168.88.95/做了管理设备,所以页面上看不到牵引配置,而调换之前下发的32位主机路由已经下发到两台设备的路由模块中,所以调换后业务流量被牵引到AFC设备上。
恢复措施:查看管理设备及节点设备的路由表:[系统配置]-[配置]-[本地路由列表]
图24 本地路由表
按照原牵引配置将牵引设备操作列表配置好:
图25 添加牵引设备操作列表
将查到的路由表中的信息手动牵引后再反牵引即可:
图26 反牵引
串联部署环境,down其中一对链路,该链路的流量需要时间到另外up的链路,因此断网几秒
正常进行主备切换,由于切换的时间比会话建立的时间长,因此之前的会话连接超时
|
模块名 |
菜单名 |
同步 |
不同步 |
|
全局状态 |
设备状态 |
√ |
|
|
服务器列表 |
|
√ |
|
|
连接监控 |
|
√ |
|
|
排名统计 |
|
√ |
|
|
数据分析 |
|
√ |
|
|
静态黑白名单 |
√ |
|
|
|
动态黑白名单 |
√ |
|
|
|
规则配置 |
全部菜单 |
√ |
|
|
牵引配置 |
牵引状态 |
√ |
|
|
其余菜单 |
√ |
|
|
|
域名过滤 |
全部菜单 |
√ |
|
|
DNS防护 |
DNS动态缓存 |
|
√ |
|
其余菜单 |
√ |
|
|
|
系统配置 |
全部菜单 |
|
√ |
|
客户群组 |
发消息设置 |
|
√ |
|
其余菜单 |
√ |
|
|
|
日志中心 |
全部菜单 |
√ |
|
|
设备 |
授权信息 |
|
√ |
|
设备检查 |
|
√ |
|
|
其余菜单 |
√ |
|
|
|
设备配置 |
全部菜单 |
|
√ |
|
路由配置 |
全部菜单 |
|
√ |
|
平台设置 |
IP设置 |
|
√ |
|
登录安装配置- 密码过期设置 |
|
√ |
|
|
SSH配置 |
|
√ |
|
|
主备配置 |
|
√ |
|
|
其余菜单 |
√ |
|
|
|
用户配置 |
全部菜单 |
√ |
|
|
系统监控 |
全部菜单 |
√ |
|
|
备份管理 |
全部菜单 |
√ |
|
由于任务开始到结束未达到一个学习周期,导致系统学习结果未更新到当前防御。当任务结束后,点击【应用至防护】才会将学习值规划到规则中
现象描述:系统升级页面,上传bin包后,升级页面提示“解压升级包失败,请检查安装包”
规避措施:是检查升级包是否和官网一致。
集群部署模式下通过web进行系统升级,设备管理页面显示设备状态为自动关闭,需要先拆集群后单台升级,系统升级正常后在恢复为集群模式。
影响版本:AFCE6401、E6401P01、E6401P02
P03版本修改了一些系统配置,页面显示90秒倒计时结束的时候会进行设备侧重启,此时升级页面完全显示空白,再次访问升级页面会自动恢复。
影响版本:低版本升级到AFC E6401P03
重新配置管理口ip地址即可
vlan接口配置绑定接口为聚合口,但是配置不生效,目前不支持将聚合端口加入VLAN接口配置中
集群设备中的配置储存在管理设备的数据库中,节点设备切换为一体机后无法读取管理设备的数据库,需要重新进行配置网口以及路由。
输入和输出一起勾选,移动鼠标会显示输入输出详细信息。
现象描述:两台设备A、B开启高可用,运行一段时间后,再次登录web页面,提示“登录失败”
可能原因:备设备上修改主设备IP为设备C管理地址或主设备上修改备设备IP为设备C管理地址
规避措施:目前高可用针对的是两台设备,高可用开启或修改时需要确认两台设备组ID以及设备ip地址是否正确
现象描述:导入或新增相同客户端IP的静态黑名单,后续新增或修改的规则无法同步,数据检查提示:同步失败
产生原因:静态黑名单同一个客户端IP添加超过10条
规避措施:静态黑名单同一个客户端IP添加不超过10条
现象描述:旧版本设备升级至P04版本后bond模式显示为升级前模式,但下拉框只有动态和静态。
可能原因:旧版本中bond有7种模式分别为模式一至模式七,P02以及之后版本只有静态和动态两种模式,动态对应旧版本的模式五,静态对应其余6种模式。
现象描述:AFC设备CPU占用率显示很高;
可能原因:AFC设备中内存与CPU占用机制为预分配机制,页面显示CPU占用率为控制层面的CPU,不会影响业务。
现象描述:打license后显示剩余天数与license实际天数不符;
可能原因:1、设备日期不准确;
2、确认license生成时间不是当天生成;
3、license授权服务器时间不准确。
规避措施:确认设备时间,生成license后当天导入。
现象描述:AFC设备串联或旁路部署,其中上下联交换机添加vlan头,添加攻击检测规则不生效;
可能原因:添加的攻击检测子规则中逻辑关系使用字符。
规避措施:攻击检测规则的逻辑关系选择十六进制。
影响版本:AFCE6401P02及之前版本。
可能原因是新增或修改bgp配置后没有点击保存,新增或修改bgp配置后先点击保存再点击应用配置。
现象描述: 命令行执行shutdown interface 网口名称,网口配置应用配置或重启设备,手动down的网口状态变为up
规避措施: 重新到命令行执行shutdown interface 网口名称
将BAGG端口拆开,各网口分别开启ISIS路由
将BAGG端口拆开,各网口分别开启LDP路由
现象描述:进入BGP路由配置页面,输入本地BGP信息,点击【应用配置】,提示:操作成功,实际未生效;命令行执行display system status,显示bgp进程异常
规避措施: 先点击【保存】,再点击【应用配置】按钮
现象描述: 应用规则页面,点击【添加】,名称任意添加,服务器ip输入ipv6地址,其他不变,点击【保存】,提示:请输入正确的起始ip
规避措施: 暂无,只是提示问题,不影响实际使用
影响版本:AFC E6401P04及之前版本。
现象描述: 2020平台测试仪发送64字节syn数据包2000Mbps,3W服务器列表,系统无拦截数据,只显示420M流量
可能原因:没有自定义触发规则
规避措施:建议在ISP上层封堵部分流量,使攻击流量降低到 客户正常带宽的 80%,同时针对被攻击的地址段修改其默认全局触发规则,修改为50,使防御模块生效
现象描述:对防护服务器打攻击流,触发攻击;将攻击源和服务器添加到动态白名单,攻击识别一直持续
可能原因:攻击流为syn、ack、udp、icmp flood 或过滤规则 拦截的
产生原因:动态白名单只对应用规则里加了 漏洞规则 或 快速规则 生效;如果是 syn ack udp icmp 这些flood 或过滤规则 拦截的攻击流,是不生效的
现象描述:进入【系统配置-用户配置-用户】页面,添加用户,其中用户登录名输入一串数字
可能原因:用户登录名以数字开头
规避措施:用户登录名不以数字开头
影响版本:AFC所有版本。
现象描述:系统下发黑洞牵引,交换机上牵引失败,但是黑洞牵引状态显示有牵引成功的记录
可能原因:交换机路由配置错误
规避措施:排查交换机路由配置
现象描述:当用户权限只有路由模块或设备配置管理模块,使用该用户登录系统,提示:此用户无权限,请管理员添加您的权限
产生原因:用户只分配路由模块或设备配置模块权限,使用该用户登录系统会显示用户无权限
动态与静态白名单只是针对入向流量数据
现象描述:两台设备A、B集群部署,在A设备上操作连接监控页面的批量加黑功能,提示:操作成功,但是查看B设备无动态黑名单
可能原因:两台设备A、B未配置同步口;两台设备A、B同步口实际没有接线
现象描述:牵引历史页面点击导出word,无任何提示;再次点击其他导出功能项,也没有提示;但是导出excel显示操作失败
涉及页面:牵引历史、攻击日志
规避措施:点击导入word之后,等到文件下载结束再操作其他页面
影响版本: AFC所有版本。
现象描述:添加多条自动备份规则,且时间间隔为1小时,期间访问页面,页面响应时间>30S
规避措施:由于备份会消耗数据库资源,因此建议只添加一条自动备份规则
影响版本:AFC所有版本
现象描述:系统日志提示核心进程异常且系统业务异常
规避措施:1、登录命令行,输入system autorepair;2、在没有业务的情况下重启设备
影响版本:AFC所有版本。
节点设备不可执行reset admin password命令
现象描述:集群部署两台设备,设备A删除DNS动态缓存信息,设备B上还存在
规避措施:目前集群模式下删除DNS动态缓存不会进行同步,因此设备B还存在该信息
影响版本:AFC所有版本
现象描述:AFC设备正常接入组网,设备状态页面曲线一段时间后出现缺口,3S内恢复正常
规避措施:该阶段在进行释放缓存,不影响正常转发
影响版本:AFC所有版本
现象描述:AFC设备串联到组网中,手动down串联外网口对应的上游交换机网口,网口配置页面重新应用配置或重启设备,串联内网口状态为up
规避措施:由于端口联动的机制是判断当前时刻和系统启动时的网口进行对比,如果启动时网口为down,则端口联动机制被破坏
影响版本:AFC所有版本。
现象描述:AFC旁路部署,【防护配置-系统配置-参数设置】页面,模式配置中激活转发模式,开启直通后,系统接收不到流量,服务器列表为空,且流量无法ping不通
规避措施:旁路模式不开启转发模式,转发模式用于串联部署下,为了避免影响业务
现象描述:网口配置页面修改管理口ip后,点击应用配置,新改的管理口IP可以正常登录,插拔管理口网线,ping管理口ip,显示请求超时;
可能原因:新改的管理口IP可以正常登录会后,进行插拔网线操作。
影响版本:AFC E6401P04及以下版本
规避措施:
1、 先修改管理口ip并应用后,可使用修改后ip登录系统,再进行系统升级
2、 或使用192.168.0.1登录系统并升级版本成功,网口设置页面修改管理口ip和网关,点击应用配置后,重启设备,使修改后ip永久生效
3、 或使用192.168.0.1登录系统并升级版本成功,在串口命令行修改管理口ip和网关,使修改后ip永久生效
产生条件:AFC E6401P02到P05版本,使用电口bypass插卡当业务口
产生原因:由于AFC E6401P02版本之后适配了bypass插卡,该版本bypass核心投喂进程等待时间较短,系统定时任务集中在整点时触发,导致系统管理层负载较高,从而影响bypass核心投喂进程及时性,造成对端网络设备接口可能产生up/down日志;由于交换机光口与电口的协商机制不同,使用光口bypass插卡出现该问题的几率较低
影响版本:AFC E6401P02到P05版本
影响范围:所有适配的电口bypass插卡
规避措施:建议采用光口bypass插卡或电口非bypass插卡
产生条件:使用电口插卡或板载电口当业务口
产生原因:系统记录电口链路不准确
影响版本:AFCE6401、AFCE6401P01、AFCE6401P02、AFCE6401P03、AFCE6401P04
规避措施:暂无;由于只是页面记录问题,暂不影响功能
产生条件:网口配置页面修改管理口ip,点击应用配置
产生原因: 修改管理口ip并应用成功之后,当前访问的ip无法连通,等待浏览器重试失败后,会返回“操作失败”
影响版本:AFC所有版本
规避措施:页面显示问题,不影响使用;可使用新ip访问系统
产生条件:两台设备串联部署使用电口做业务口,开启主备后down工作模式业务口
产生原因:两台设备进行角色切换时,会down本机业务口,up另外一台设备业务口,使用电口做业务口,协商速率较慢,导致业务存在20个包中断现象
影响版本:E6401P02、E6401P03、E6401P04
规避措施:升级到E6401P05及以上版本
问题现象: AFC2020平台设备断电后bypass接口网桥不通,断电bypass功能未生效。
产生原因: AFC2020平台硬件bypass控制特性与其他平台设计逻辑不同。
影响范围: AFC2020平台在低于6401P06的软件版本时,断电bypass功能不可用。
解决方案:1、升级软件版本到6401P06即可正常使用bypass功能。
2、若升级6401P06版本后问题仍未得到解决,先检查上下游网线是否同为交叉线或同为直通线。仍未解决的需联系技术人员远程协助排查。
现象描述:当前AFC设备版本号为E6401P06以下版本,进入AFC设备系统升级页面,选择AFD 的升级包,点击系统升级,升级页面10%之后页面显示为空白,访问AFC web页面,显示404
解决方案:当前需要联系华三技术支持人员处理。目前已在AFC E6401P06版本添加相关校验。
SSH登录:端口16222,账号/密码默认admin/admin,与web登录密码保持一致
串口登录:波特率115200,账号/密码默认admin/admin,与web登录密码保持一致
(检测设备也适用)
版本升级成功后再手动重启一次
可能原因:1、插拔管理口网线;2、插拔设备电源;3、插拔网卡
恢复措施:
1、进入串口命令行重新配置管理口ip和网关,执行命令参考如下:
配置管理口GE0/0 ip为192.168.0.2:ip address interface GE0/0 192.168.0.2/24
配置管理口GE0/0的网关192.168.0.1:ip gateway 192.168.0.1
2、登录web页面,进入【系统配置-设备-设备管理】页面,点击【配置】,进入【flow检测设备-网卡设置】页面,配置GE0/0 网口ip地址以及网关信息,点击【应用配置】
影响版本:AFDE6401和E6401P01。
现象描述:AFD设备导入license显示license无效
可能原因:1、无扩展卡下生成的license导入到已插扩展卡的系统;2、设备插入扩展卡后申请的license导入到无扩展卡的系统中
规避措施:license导入时的设备状态和申请时保持一致
影响版本:AFDE6401和E6401P01。
解决方案:输入框中包含特殊字符或不合法的IP等,检查输入的内容并改正。
影响版本:AFDE6401和E6401P01。
解决方案:命令行配置正确的网关信息
影响版本:AFD E6401和E6401P01。
Web页面及串口命令行最多显示32个网口(管理口除外),因此可能会出现某些插卡网口显示不全。
影响版本:AFDE6401和E6401P01。
现象描述:
现象一:Snmp配置后,点击应用,提示:不能包含特殊字符
现象二:Snmp配置后,点击应用,提示信息为英文
可能原因:配置中的只读权限组和读写权限组名称中包含中文或特殊字符
规避措施:Snmp配置中的只读权限组和读写权限组名称中不能包含中文及特殊字符。
不允许的中文字符包括:“?”、“空格”、“¥”、“……”、“(”、“)”、“——”、“【”、“】”、“《”、“》”、“、”、“。”、“,”、“;”、“!”、““”、“””、“‘’”、“:”。
不允许的英文字符包括:“?”。
影响版本:AFDE6401和E6401P01。
E6401版本中串口命令行不支持以下字符密码:>、.、*、,、<、"、\、/、(、!、=、~、`、$、+、-、
,web登录密码修改为不包含以下字符的密码:>、.、*、,、<、"、\、/、(、!、=、~、`、$、+、-、
影响版本:AFDE6401和E6401P01。
产生原因:2021年8月15日前出厂的四口万兆插卡(物料型号为NSQM1IPCTG4A)未进行升级;当只插模块却无光纤时会导致系统启动失败
恢复措施:移除未接光纤的模块并重启设备
影响版本:AFDE6401和E6401P01。
影响页面:网口配置、系统升级等二次校验的页面
提示信息:弹窗提示“提交失败”
产生原因:用户密码校验不支持以下特殊字符导致提交失败,包含特殊字符有:>、.、*、,、<、"、\、/、(、!、=、~、`、$、+、-、
规避措施:避免使用以上特殊字符
影响版本:AFDE6401和E6401P01。
建议升级至最新版本。
建议升级至最新版本。
建议升级至最新版本。
对于告警ip未设置牵引规则 ,导致只有攻击没有其他处置
串口命令行不支持以下字符密码:>、.、*、,、<、"、\、/、(、!、=、~、`、$、+、-、
,web登录密码修改为不包含以下字符的密码:>、.、*、,、<、"、\、/、(、!、=、~、`、$、+、-、
影响版本:E6401、E6401P01。
web登录密码修改为不包含以下字符的密码:>、.、*、,、<、"、\、/、(、!、=、~、`、$、+、-、
影响版本:E6401、E6401P01。
检查牵引设备操作列表中的命令,没有打印出来的可能是命令错误导致的
黑洞牵引如果配置有多条时,当某个服务器列表下的 IP 触发黑洞牵引规则时,黑洞牵引规则列表中的每条规则会依次从上到下的顺序判断并进行对牵引操作的处理
可能性:被攻击的ip不经过设备
检查客户提供的被攻击ip是否经过设备。【检测配置】-【状态】-【服务器列表】输入被攻击ip进行搜索。
可能原因:插拔网卡;license无效
规避措施:进入【系统配置-设备-设备管理】页面,操作栏点击编辑按钮,直接点击保存;进入license配置页面查看license是否有效
影响版本:AFD所有版本。
可能原因:插拔网卡;重启设备
恢复措施:网卡配置页面点击【更新配置】即可显示网口信息。
影响版本:AFDE6401和E6401P01版本。
现象描述:升级过程中提示解压升级包失败,请检查安装包
可能原因:升级包名称发生变化
规避措施:升级包不能修改包名称(所有版本)。
影响版本:AFD所有版本。
集群部署模式下通过web进行系统升级,设备管理页面显示设备状态为自动关闭,需要先拆集群后单台升级,系统升级正常后在恢复为集群模式。
影响版本:AFDE6401和E6401P01版本。
现象描述:导入license后显示剩余天数与license实际天数不符;
可能原因:1、设备日期不准确;
2、确认license生成时间不是当天生成;
规避措施:确认设备时间,生成license后当天导入
影响版本:AFD所有版本。
"现象描述:手动牵引10万条IP显示操作失败;
可能原因:设备目前不支持一次性牵引条目过多。
规避措施:分批次进行牵引
影响版本:AFD所有版本。
现象描述:进入【系统配置-用户配置-用户】页面,添加用户,其中用户登录名输入一串数字
可能原因:用户登录名以数字开头
规避措施:用户登录名不能以数字开头
影响版本:AFDE6401和E6401P01版本。
可能原因:网卡设置页面没有配置网关
规避措施:升级前网卡设置页面配置网关并应用配置
影响版本:AFDE6401和E6401P01版本
升级到AFDE6401P02版本
影响版本:AFDE6401和E6401P01版本
告警取证记录晚于攻击日志1min
影响版本:AFD E6401P02版本
规避措施:导入检测规则之前先导入特征库
影响版本:AFD E6401P02版本
经过系统的流量存在标志位:syn\ack\rst
只要有syn,服务器列表只有TCP(SYN)列显示数据,其他为0
有rst\ack,服务器列表只有TCP(ACK)列显示数据,其他为0
可能原因:license无效时配置了规则以及其他信息
规避措施:导入license后,1、网卡设置页面重新应用配置;2、设备管理页面重新编辑保存设备信息
可能原因如下,可逐一排查:
¡ license无效
¡ 监控口状态为down
¡ 设备状态-设备管理中设备状态为关闭
¡ 镜像模式下,监控ip范围未生效
现象描述:当前AFD设备版本号为AFDE6401P01或AFDE6401版本,进入AFD设备系统升级页面,选择非AFC E6401P06的升级包,点击系统升级,升级页面10%之后页面显示为空白,访问AFD web页面,显示404
解决方案:当前需要联系华三技术支持人员处理。目前已在AFD E6401P02版本添加相关校验。
这种情况可能是触发了全局触发规则,从而被全局过滤规则模块拦截了部分流量。可以根据实际带宽要求,加大放宽全局触发规则【每秒tcp包数】、【每秒syn包数】和【每秒ACK&RST包数】的值。
具体操作如下:
(1)首先制定添加针对客户TCP高带宽业务的触发规则。选择【规则配置】-【触发规则】-【全局触发触发规则】 - 【添加】;
“每秒TCP包数”设为100000,
”每秒SYN包数”设为50000,
每秒ACK&RST包数“设为50000,
如果设定完包阈值之后还出现拦截现象,可以再适当调整。
(2)将该全局触发规则添加到指定的服务器IP上,在服务器列表中找到相应的IP,然后点击应用规则添加,在【编辑应用规则】-【全局触发规则】中选择“TCP高带宽触发”这条全局触发规则,保存即可。
业务IP加直通后恢复正常,是异常流量清洗系统拦截了,原因是客户的正常业务流量有点大,触发了全局过滤模块的UDP过滤规则,需针对该客户的UDP业务IP添加一条放宽UDP触发的全局触发规则。具体操作如下:
1、首先创建一条全局触发规则【配置规则】-【触发规则】-【全局触发规则】-【添加】,将每秒udp包数和每秒其它协议包数触发阈值调大些(根据客户业务情况来定),如每秒udp包数和每秒其它协议包数触发值调10万,名称为 UDP大带宽:【防护配置】-【规则配置】-【触发规则】下图所示:
图27 全局触发规则
2、然后在服务器列表中找到该UDP业务的IP ,添加一条应用规则,将应用规则里的全局触发规则改为UDP大带宽触发:【防护配置】-【全局状态】-【服务器列表】保存即可。
图28 触发规则应用
更换HTTP插件验证方式,可以使用问题验证模式。具体做法如下:
第一步:
将所应用的WEB CC插件参数设置为:
2,0,0,0,30,0,0,0
将第一位设置成2,表示问题验证。
将第五位设置成30,表示有30个syn包才触发。可以适当调整。
第二步:
清空该服务器动态白名单。
PPTP正常运行时有2个连接,一个用于隧道控制,使用TCP协议,客户端端口随机,服务器端口为 1723。一个用于隧道数据传输,采用IP协议传输,IP协议号为 47。
l2tp 与pptp类似,它用UDP 进行隧道维护 客户端与服务器端使用的UDP端口号为 1701。L2TP 隧道数据传输,采用IP协议传输 IP协议号为 50(ESP) 。
ipsec vpn 由2种协议实现认证(AH协议)和数据通信 (ESP协议)。AH 为三层协议(即IP协议),协议号为 51。ESP 为三层协议,协议号为 50。
GRE 协议为三层协议(IP协议) 协议号为47。
另外从上面亦可以看出 PPTP建立控制会话后,数据用GRE传输。l2tp建立控制会话后,数据用ESP传输。理论上封掉一个机房的显性vpn(有明显特征的vpn)只需做规则封掉相应的协议端口号就可以了:【防护配置】-【规则配置】-【过滤规则】
封PPTP:
图29 过滤规则
封IPSEC-AH:
添加一个防护规则,把协议号字段填写为33【防护配置】-【规则配置】-【防护规则】:
图30 防护规则
条件匹配则拦截。将此防护规则与协议包全为1的触发规则关联在一起,添加到服务器IP上。
过滤规则封AH:【防护配置】-【规则配置】-【过滤规则】
图31 过滤规则
第一种原因:
先排查解析的IP是不是在异常流量清洗系统的服务器列表内。如果在,则查一下该IP是不是添加了直通规则,或者取消了域名模块。
第二种原因:
使用ipip.net或者17ce.com上测试一下,网站是不是全部都能打开。如果都打不开,则有可能是该客户的IP地址被加入了静态白名单中。
第三种原因:
检查域名白名单中的域名与实际域名是否一致,包括大小写和相近字母(如大写I和小写l)。
如果是针对web 80端口的攻击,可以使用系统规则集 S_HTTP NEW CC V2.1 来调用CC插件进行防护。该插件默认使用js认证,针对手机端不适用。HTTP-CC插件的各个参数说明如下:
默认值 0,0,0,0,1,1,0,0,0,0,0,0,0,0,0,0,0,0,0,0
1 验证方式 0:小尾巴1:按钮2:问题 其它:按钮
5 syn每秒触发数
6 ack每秒触发数
如果是针对443端口的攻击,可以使用CTmanage插件,该插件可以防护空连接以及限制客户端与服务端建立的连接数。CTmanage 插件HTTPS防御参数值配置为 1,30,30,0,0,0,1,CTmanage有七个参数,各个参数说明如下:
第一位表示是否开启超出连接限制时加黑,置1表示加黑并释放 置0表示只释放连接不加黑源IP
第二位表示空连接探测时间,即tcp双方建立连接后,在此段时间内没有数据传输,便判定为一个空连接
第三位源IP与服务器可以建立的连接上限,当一个源IP地址与服务建立的连接数超过此值时,如果参数一置为1时,源IP被加黑10000秒
第四位置0,保留
第五位置0,保留
第六位置0,保留
第七位置1开启延时提交,0表示不开启延时提交。(*串接场景下使用,旁路场景开启后会导致业务不通)
一:源ip地址查询及导出
(1)通过攻击统计来查看攻击源ip地址
打开异常流量清洗系统点击【报表】-【攻击统计】输入要查询的服务器ip及查询的时间段点击查询(可以选择攻击源显示条数),导出是点击"查询"按钮旁的导出按钮:【报表】-【日志中心】-【攻击统计】如下图所示:
图32 攻击统计
(2) 通过攻击日志查询
打开异常流量清洗系统点击【报表】-【攻击日志】输入要查询的服务器ip地址及查询的时间段,点击查询,导出是点击"查询"按钮旁的导出按钮;【报表】-【攻击日志】-【攻击日志】如下图所示:
图33 攻击日志
二:攻击源路线信息、区域查询及导出
打开异常流量清洗系统点击【报表】-【攻击统计】输入要查询的服务器ip及查询的时间段点击查询,导出是点击"查询"按钮旁的导出按钮:【报表】-【攻击日志】-【攻击统计】如下图所示:
图34 攻击源统计
(1)首先,登录异常流量清洗系统页面,在【全局状态】-【服务器列表】中,找到目标ip 并点击一下该 ip。
(2)找到应用规则模块,点击添加,接着在每秒输入限制流量或每秒输出限制流量功能中输入需要限速的流量值即可,输入前要把-使用系统流量限制打勾去掉:【防护配置】-【规则配置】-【应用规则】具体操作如下图所示:
图35 应用规则
(3)最后激活保存即可。
1、通过上传国内网段设置
打开异常流量清洗系统点击【规则配置】-【应用规则】点击【添加】,填写你要屏蔽海外访问服务器的ip地址,同时在全局过滤模块勾选可信源检查点击保存,如下图所示名称自定义:
图36 应用规则封海外IP
2,通过IP段地理位置信息设置
打开异常流量清洗系统点击【规则配置】-【过滤规则】点击【添加】,名称自定义,外部地址进行排除,内部地址写需要屏蔽海外访问服务器的ip地址,规则写拦截之后点击保存,如下图所示:
图37 过滤规则封海外IP
3 相同点;
都必须在异常流量清洗系统-系统参数里导入相应的文件及设备后台开启相应的功能如下图所示: 【防护配置】-【系统配置】-【国内网段设置】
图38 国内网段设置
4 不同点
(1)过滤规则是实时生效的,不需要触发条件
(2)应用规则调用的可信源检测,需要触发应用服务器上的全局触发规则才能生效。
(3)使用的IP地址库不一样:
过滤规则使用 --【防护配置】-【系统配置】-【IP段地址位置信息】
可信源检测使用 --【防护配置】-【系统配置】-【国内网段设置】
5 验证
可以跳到国外服务器上去访问测试服务器。
用封停服务器UDP业务端口来举例说明:
1:异常流量清洗系统封停服务器UDP单一业务端口
如服务器2.2.2.2 端口80
打开异常流量清洗系统点击【规则配置】-【过滤规则】点击【添加】填写如下图后点击保存
图39 过滤规则封TCP
名称:自定义
内部地址:2.2.2.2 (要封UDP服务的ip地址)
协议:选择UDP
外部端口类型:选择任何端口
内部端口类型:选择单一端口
内部端口:80(填写要封的端口)
行为规则:勾选拦截
2:异常流量清洗系统封停服务器UDP业务端口范围
如服务器2.2.2.2端口70-170
打开异常流量清洗系统点击【规则配置】-【过滤规则】点击【添加】填写如下图后点击保存
图40 过滤规则封UDP
名称:自定义
内部地址:2.2.2.2 (要封UDP服务的ip地址)
协议:选择UDP
外部端口类型:选择任何端口
内部端口类型:选择端口范围
内部端口:70-170(填写要封的端口范围)
行为规则:勾选拦截
3,异常流量清洗系统封停服务器UDP业务不连续的端口
如服务器111.177.18.42 端口1-52,54-65535打开异常流量清洗系统点击【规则配置】-【过滤规则】点击【添加】填写如下图后点击保存
图41 过滤规则
名称:自定义
内部地址:2.2.2.2 (UDP服务的ip地址)
协议:选择UDP
外部端口类型:选择任何端口
内部端口类型:选择端口列表
内部端口:1-52,54-65535 (填写端口范围)
行为规则:勾选拦截
打开异常流量清洗系统点击【规则配置】-【过滤规则】点击【添加】按钮 在名称一拦中自定义名称,在外部地址类型里选择任何地址.内部地址里选择单一地址,然后在内部地址里填写需要封停的服务器地址,协议里选择IP,方向选择里勾选接收及发送 行为规则里勾选拦截,并勾选激活按钮:【防护配置】-【规则配置】-【过滤规则】
图42 封堵海外IP
情况一,客户端地址不允许访问数据中心内所有的服务器
如,客户端地址为 1.1.1.1,不允许改 ip 访问数据中心内所有的服务器,直接手动把该 ip 加入静态黑名单即可。
情况二,客户端地址不能访问指定服务器
如,客户端 ip 还是1.1.1.1,指定的服务器 ip 是2.2.2.2,这时,就不能直接把客户端的地址加黑了,就要给指定服务器 ip 2.2.2.2加一条过滤规则即可,客户端和服务端地址单一地址,方向选择勾选,接收和发送,行为规则选择拦截,最后确定即可:【防护配置】-【规则配置】-【过滤规则】
图43 封客户端IP
这种情况为串联环境中会出现的现象:原因是物理线路的内外网口光纤接反导致。
进入交换机查看该IP的路由,路由优先级高的一条生效,优先级低的不生效,若删除优先级高的路由则优先级低的路由生效
这种情况一般为AFD设备下发ACL命令成功,在交换机中能够查看到ACL,但是未将该ACL应用到网口导致
因为AFD设备在镜像模式下只是将交换机的流量镜像过来,镜像口输入输入的流量都会显示在服务器列表中,而一般情况下流量是经过镜像口进入交换机后才被丢掉,所以AFD设备的服务器列表中会显示被牵引进黑洞的IP流量。
支持
