f1000 SSLvpn问题

看下会话情况

1. **关于态势感知持续提示攻击的原因**：
尽管防火墙已配置封堵恶意域名 `***.***`，但该域名存在于防火墙的IPv4地址对象组中用于安全策略匹配。防火墙会主动向DNS服务器（如202.99.224.68）发起DNS解析请求以获取其IP地址，用于后续策略判断。此DNS请求由防火墙自身发出（TTL=255可确认），因此态势感知仍将该行为识别为“访问恶意域名”，从而持续产生告警。**本质是防火墙机制导致的正常行为，而非攻击成功**。

2. **关于SSLVPN网关192.168.1.1访问恶意域名的原因**：
实际并非SSLVPN网关主动访问恶意域名，而是防火墙设备自身在解析配置中引用的域名（如安全策略中的“恶意域名”对象组）。若源IP 192.168.1.1 是防火墙管理或出口地址，则该DNS请求由防火墙发起，用于更新域名对应的IP地址信息，属于策略执行的必要过程。

**建议处理措施**：
- 如无需实时解析，可考虑将域名对象组改为静态IP地址条目，避免频繁DNS查询。
- 在态势感知系统中将此类防火墙主动解析行为加入白名单，避免误报。
- 确保DNS解析失败时不触发异常日志泛洪，优化日志级别与告警策略。