某局点配置URL过滤后业务中断，取消配置后业务仍无法恢复问题分析

不涉及

设备型号：M9000

部署模式：RBM结合VRRP主备部署

问题描述：客户需求为过滤恶意域名，配置url过滤功能。初始配置为默认动作选择允许，黑名单部分配置了需要阻断的恶意域名。如下：

现场配置完成后，发现url过滤日志中有放行的域名记录，以为黑名单没有生效。因此就把默认动作改成黑名单，导致主墙上的业务中断。

业务中断之后，现场把该配置取消。但是内网访问互联网的流量仍没有货恢复。主备倒换之后业务才逐渐恢复。

基于以上操作，现场要求分析原因。

现场的疑问主要有三点，现一一解答如下：

1. url过滤策略中的，默认动作为允许，黑名单中的URL为动作为什么也是允许。

此处是现场理解问题，由于url过滤配置中勾选了记录日志，因此放行的url记录也会在日志中体现。实际现场的黑名单对应的url并没有被放通。

2. 造成业务中断的原因？

url过滤的缺省动作改为黑名单，会导致内网访问网站的流量均命中缺省的分类并执行黑名单动作。即内网IP被加入黑名单。加入黑名单之后，后续该内网IP上墙的流量直接被阻断，不区分应用。因此，即使配置恢复后，由于动态黑名单的表项还在导致业务在主墙迟迟不能恢复。

3. 配置恢复之后，业务为何没有恢复？

前期内网访问外网的流量（基于http，https）命中url过滤的缺省动作，源地址被加入黑名单。该黑名单有时间周期，周期内，该源IP过墙的报文均会被阻断。

default-action命令用来配置URL过滤策略的缺省动作。

undo default-action命令用来恢复缺省情况。

【命令】

default-action { block-source [ parameter-profile parameter-name ] | drop | permit | redirect parameter-profile parameter-name | reset } [ logging [ parameter-profile parameter-name ] ]

undo default-action

【缺省情况】

未配置URL过滤策略的缺省动作。

【视图】

URL过滤策略视图

【缺省用户角色】

network-admin

mdc-admin

vsys-admin

【参数】

block-source：表示阻断报文，并会将该报文的源IP地址加入IP黑名单。如果设备上同时开启了IP黑名单过滤功能，则一定时间内（由block-period命令指定）来自此IP地址的所有报文将被直接丢弃；否则，此IP黑名单不生效。有关IP黑名过滤单功能的详细介绍请参见“安全命令参考”中的“攻击检测与防范”，有关block-period命令的详细介绍请参见“DPI深度安全”中的“应用层检测引擎”。

drop：表示丢弃报文。

permit：表示允许报文通过。

redirect：表示重定向动作，把符合特征的报文重定向到指定的Web页面上。

reset：表示通过发送TCP的reset报文从而使TCP连接断开。

logging：表示生成报文日志动作。

parameter-profile parameter-name：指定引用的动作参数。parameter-name是动作参数profile的名称，为1～63个字符的字符串，不区分大小写。如果不指定该参数或指定的参数不存在，则使用动作的缺省参数。这里引用的动作参数是应用层检测引擎中配置的动作参数，有关应用层检测引擎中动作参数的详细配置请参见“DPI深度安全命令参考”中的“应用层检测引擎”。

【使用指导】

配置此命令后，当报文没有匹配上URL过滤策略中的规则时，设备将根据URL过滤策略的缺省动作对此报文进行处理。

【举例】

# 在名为cmcc的URL过滤策略中，配置缺省动作为丢弃。

<Sysname> system-view

[Sysname] url-filter policy cmcc

[Sysname-url-filter-policy-cmcc] default-action drop

【相关命令】

·              inspect block-source parameter-profile（DPI深度安全命令参考/应用层检测引擎）

·              inspect redirect parameter-profile（DPI深度安全命令参考/应用层检测引擎）

·              url-filter policy

如上，黑名单的效果或者说杀伤力比直接阻断要大，建议后续更改配置时谨慎处置。