引:运维人员在出口防火墙上配置URL黑名单,提交保存后导致网络中断。
故障现象:提示“Web Access blocked”(网页访问受阻)
故障排查:
一、别家单位均可访问该地址,仅有该家无法访问,排除对端服务器问题;
二、ping不通,telnet端口不通,但是tracert可以到达,证明网络没有问题,问题出在应用层(物-网线,数-MAC,网-IP,传-端口,应用层);
三、由于设备为华为防火墙,在华为防火墙上搜故障提示,显示“通过黑名单和白名单控制用户访问的网站”;
四、URL过滤配置文件中缺省动作为“阻断”,改为允许,网络正常。
总结:
1、操作华为防火墙时,需要导入配置文件的(如策略中内容安全需要引用“URL过滤配置文件”、“反virus”、“入侵防御”等),需要提交才生效,保存才能在重启后不丢失;
2、操作华为防火墙时,配置的策略仅需要保存即可,重启后不会丢失;
3、华为防火墙是根据会话中的五元组进行数据转发的,如果新添的策略与原有的策略交叉,而原先的会话流没有关闭(默认会话老化时间是20min),则会话还会依据原先的会话表项进行转发;(清除所有系统的会话表项命令: <ZWW-FW>reset firewall session table all-systems)
4、无论何时,防火墙策略any to any置顶就是无敌,但是先清除所有系统的会话表项,要不然有未老化的会话表项,数据还会依据原先的策略进行转发;
5、Web举例:通过黑名单和白名单控制用户访问的网站:http://127.0.0.1:51299/icslite/hdx.do?docid=HDXAZN01179_01_zh#topicid=ZH-CN_TASK_0000001515786150&keyword=%5B%22%E9%BB%91%E5%90%8D%E5%8D%95%22%2C%22url%22%2C%22%E5%90%8D%E5%8D%95%22%2C%22%E8%BF%87%E6%BB%A4%22%5D
6、URL过滤处理流程图
