不涉及
设备型号:M9000
部署模式:RBM结合VRRP主备部署
问题描述:客户需求为过滤恶意域名,配置url过滤功能。初始配置为默认动作选择允许,黑名单部分配置了需要阻断的恶意域名。如下:
现场配置完成后,发现url过滤日志中有放行的域名记录,以为黑名单没有生效。因此就把默认动作改成黑名单,导致主墙上的业务中断。
业务中断之后,现场把该配置取消。但是内网访问互联网的流量仍没有货恢复。主备倒换之后业务才逐渐恢复。
基于以上操作,现场要求分析原因。
现场的疑问主要有三点,现一一解答如下:
1. url过滤策略中的,默认动作为允许,黑名单中的URL为动作为什么也是允许。
此处是现场理解问题,由于url过滤配置中勾选了记录日志,因此放行的url记录也会在日志中体现。实际现场的黑名单对应的url并没有被放通。
2. 造成业务中断的原因?
url过滤的缺省动作改为黑名单,会导致内网访问网站的流量均命中缺省的分类并执行黑名单动作。即内网IP被加入黑名单。加入黑名单之后,后续该内网IP上墙的流量直接被阻断,不区分应用。因此,即使配置恢复后,由于动态黑名单的表项还在导致业务在主墙迟迟不能恢复。
3. 配置恢复之后,业务为何没有恢复?
前期内网访问外网的流量(基于http,https)命中url过滤的缺省动作,源地址被加入黑名单。该黑名单有时间周期,周期内,该源IP过墙的报文均会被阻断。
default-action命令用来配置URL过滤策略的缺省动作。
undo default-action命令用来恢复缺省情况。
【命令】
default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]
undo default-action
【缺省情况】
未配置URL过滤策略的缺省动作。
【视图】
URL过滤策略视图
【缺省用户角色】
network-admin
mdc-admin
vsys-admin
【参数】
block-source:表示阻断报文,并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能,则一定时间内(由block-period命令指定)来自此IP地址的所有报文将被直接丢弃;否则,此IP黑名单不生效。有关IP黑名过滤单功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”,有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。
drop:表示丢弃报文。
permit:表示允许报文通过。
redirect:表示重定向动作,把符合特征的报文重定向到指定的Web页面上。
reset:表示通过发送TCP的reset报文从而使TCP连接断开。
logging:表示生成报文日志动作。
parameter-profile parameter-name:指定引用的动作参数。parameter-name是动作参数profile的名称,为1~63个字符的字符串,不区分大小写。如果不指定该参数或指定的参数不存在,则使用动作的缺省参数。这里引用的动作参数是应用层检测引擎中配置的动作参数,有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。
【使用指导】
配置此命令后,当报文没有匹配上URL过滤策略中的规则时,设备将根据URL过滤策略的缺省动作对此报文进行处理。
【举例】
# 在名为cmcc的URL过滤策略中,配置缺省动作为丢弃。
<Sysname> system-view
[Sysname] url-filter policy cmcc
[Sysname-url-filter-policy-cmcc] default-action drop
【相关命令】
· inspect block-source parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· inspect redirect parameter-profile(DPI深度安全命令参考/应用层检测引擎)
· url-filter policy
如上,黑名单的效果或者说杀伤力比直接阻断要大,建议后续更改配置时谨慎处置。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作