SANGFOR_AC&拒绝列表

SANGFORAC拒绝列表（BYPASS与拦截定位）使用专题文档1SANGFOR_AC_ALL拒绝列表专题文档深信服科技有限公司2011年06月23日SANGFORAC拒绝列表（BYPASS与拦截定位）使用专题文档2SANGFORAC拒绝列表（BYPASS与拦截定位）的使用专题文档一、SANGFOR拒绝列表的作用拒绝列表即BYPASS与拦截定位功能，用于查询一个数据包在通过AC/SG设备时是被哪个模块拒绝，是什么原因被拒绝，以便快速定位配置错误，也可用来测试一些规则是否生效。二、SANGFOR拒绝列表（BYPASS与拦截定位）功能介绍实时拦截日志：将打开拒绝列表，此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会被设备拒绝掉，同时会将符合策略设置应该被拒绝数据包的情况显示出来实时拦截日志并直通：设置的上网策略将不生效，符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝数据包的情况以日志的方式显示出来。设置开启条件：SANGFORAC拒绝列表（BYPASS与拦截定位）使用专题文档3可以根据设置的条件过滤被拦截数据包的日志和开启直通，也可以设置针对哪些IP不开启直通。三、拒绝列表功能使用案例3.1案例背景：客户网络中部署了AC设备后，所有用户都打不开网页，管理员想定位下是AC上的策略设置问题还是公网运营商出现了故障。SANGFORAC拒绝列表（BYPASS与拦截定位）使用专题文档43.2拒绝列表功能排查思路：1.设置开启条件。如果选择内网某一台电脑做测试，可以只指定这一台电脑的IP地址。2.开启实时拦截日志并直通。3.在测试电脑上访问之前通信有故障的应用，开故障是否恢复，如果恢复，说明是AC设备上的策略拦截了数据包。4.再查看实时拦截日志，找到被拦截的第一个包的日志（第一个包的拦截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据包）。5.根据拦截日志的提示修改策略，再关闭直通功能，测试故障是否恢复。3.3操作步骤和截图：1.设置开启条件（填入测试电脑的IP地址），开启实时拦截日志并直通。SANGFORAC拒绝列表（BYPASS与拦截定位）使用专题文档52.开启拦截日志并直通后，测试电脑尝试打开网页操作，发现可以打开网页，查看实时拦截日志。由于打开网页的目标端口是80，所以需要查看目标端口为80的拦截日志。3.拦截日志提示被防火墙规则丢弃，检查防火墙规则。4.删掉错误的防火墙规则，关闭直通，内网电脑打开网页看是否问题修复。5.如果问题仍未恢复，则重复操作步骤1-4，直至问题解决。四、拒绝列表定位丢包标记与模块对应关系SANGFORAC拒绝列表（BYPASS与拦截定位）使用专题文档6五、拒绝列表英文日志对应的含义ThispackethasbeendroppedbySessionflagx!SANGFORAC拒绝列表（BYPASS与拦截定位）使用专题文档7--WEB认证webauthensessionhavebeenredirect,needdropHTTPGET请求会话，已经被重订向到login页面，以后该连接的数据都被丢弃sessionuserhadbeenfreezed,needdrop用户被冻结期间，所有数据被丢弃newpacket,checkbindmacerror新连接，用户绑定MAC地址与数据包源MAC不一致newpacket,userhadbeenfreezed用户被冻结newudppacket,needwebauthen,drop新的UDP连接，用户尚未通过认证，拒绝newunknowprotpacket,needwebauthen,drop未知协议的数据（非TCP、UDP、ICMP），用户未通过认证，拒绝estabishpacket,checkbindmacerror已连接数据，用户绑定MAC地址与数据包源MAC不一致estabishpacket,userhadbeenfreezed用户被冻结estabishpacket,nottcp,needwebauthen,drop未通过认证，非TCP数据，拒绝estabishpacket,nothttp,needwebauthen,drop未通过认证，非HTTP数据，拒绝insertnewuser,havenousernode加入新用户，但缺少节点，可能没内存了redirecttologinpage重订向到login页面，原连接断开---防火墙firewallSANGFORAC拒绝列表（BYPASS与拦截定位）使用专题文档8thispackethasbeendroppedbytheurlgetfilter!!URL过滤，被某种类型拒绝thispackethasbeendroppedbydefaulturlgroupactionURL过滤缺省拒绝Thispackethasbeendroppedbecauseofmatchingurlgetsensekeyword!!搜索引擎关键字过滤thispackethasbeendroppedbecauseofdownloadingforbiddenfiletypewithhttp!下载文件类型过滤thispackethasbeendroppedbecauseofpostingforbiddenfiletype!上传文件类型过滤thispackethasbeendroppedbecauseofmatchingsensekeywordforpost!上传关键字过滤thispackethasbeendroppedbyInternetaccessrule!上网权限拒绝thispackethasbeendroppedbyfirewallrule!防火墙规则拒绝ThispackethasbeendroppedbySessionflag!拒绝已经打上标记的连接，在任何模块拒绝了一次数据后，都可能给这个连接打上标记，之后防火墙每次都会把该连接的数据拦截ContentFilterhasdroppedthispacket!内容检测拒绝Dropthispacketbecauseofusingsocksproxy!使用Socks代理，拒绝Dropthispacketbecauseofusinghttpproxy!使用HTTP代理，拒绝SANGFORAC拒绝列表（BYPASS与拦截定位）使用专题文档9Dropthispacketbecauseoftryingtousehttpproxy!试图使用HTTP代理，拒绝thispackethasbeendroppedbecauseofdownloadingforbiddenfiletypewithftpFTP下载文件类型过滤thispackethasbeendroppedbecauseofuploadingforbiddenfiletypewithftpFTP上传文件类型过滤DropthispacketbecausetheprotocolisnotHTTPorSSL在HTTP和SSL标准端口使用非标准协议thispackethasbeendroppedbyPostcontentfilterHTTP上传过滤，包括关键字和文件类型---流控FlowCtrlDropedfortimelimit上网时长限制，上网时间已用完Dropedforgroupupbound已达到组的上行带宽限制Dropedforuserupbound已达到用户的上行带宽限制Dropedforgroupdownbound已达到组的下行带宽限制Dropedforuserdownbound已达到用户的下行带宽限制Dropedforuserupbound(P2Ponly)已达到用户P2P流量的上行带宽限制Dropedforuserdownbound(P2Ponly)已达到用户P2P流量的下行带宽限制---DoS防御-DOSIPNOTinLANnetwork!由于数据包的源IP不在内网网段列表中而被丢弃IPinSYN(IP)denylist源IP在拒绝列表中(已经判断为小包攻击),(该IP被封锁,后续所有数据包都被丢弃)SANGFORAC拒绝列表（BYPASS与拦截定位）使用专题文档10IPlogtoSYN(IP)denylist!记录攻击日志(小包攻击),封源IPIPaddtoSYN(IP)denylist!源IP被加入到拒绝列表中(小包攻击,该IP被封锁)IPinSYN(MAC)denylist源MAC在拒绝列表中(已经判断为小包攻击),(该MAC被封锁)IPlogtoSYN(MAC)denylist记录攻击日志(小包攻击),封源MACIPaddtoSYN(MAC)denylist源MAC被加入到拒绝列表中(小包攻击,该MAC被封锁)IPinDOSdenylist源IP被加到连接数过多的拒绝列表中,连接数过多是指对WAN口的某个IP或者AC本身的某个端口建立了过多的TCP连接,例如，内网IP:192.168.0.1与外网IP:202.96.134.133:80在一分钟内建立的连接超过了阀值,则导致192.168.0.1这个IP被封锁期间再也连接不上202.96.134.133:80,不过换个目的IP或者目的端口后又可以了建立新的TCP连接了IPaddtoDOSdenylist源IP被加到连接数拒绝列表中---P2P智能检测ContentCheckerDropedbysessioncounter(TCP)连接数控制Dropedbysessioncounter(UDP)连接数控制Dropedbysessioncounter(ICMP)连接数控制DropedbyP2PcheckerP2P智能检测---准入ingresshavebeenredirected,dropackHTTP请求连接，已经被重定向到安装页面，该连接被拒绝SANGFORAC拒绝列表（BYPASS与拦截定位）使用专题文档11needingress该用户未通过准入，需要准入nothttpget,needingress该用户未通过准入，需要准入havenousernode分配不到用户节点（可能没有内存了）HTTP/1.0302MovedTemporarilyLocation:……HTTPGET请求，被重定向到安装页面---入侵防御系统IPSDroptheIP:PORT!丢弃这个IP该端口的数据包---内容检测ContentCheckerDropedbyrule:163,ICMP内容检测规则第163条符合，丢弃。Dropedbyrule:143,SINAJS内容检测规则第143条符合，丢弃。Dropedbyrule:120,QQ-MSG[UDP]内容检测规则第120条符合，丢弃。