最佳答案
排查步骤:
1. 检查AV策略与业务流匹配:
display security-policy ip rule
确认AV策略正确匹配了业务流量(源/目的地址、服务)。
2. 检查AV配置文件与特征库:
display av signature library
确认特征库已加载且版本正常。
3. 检查AV处理动作:
display av policy
确认策略动作为`permit`,而非`reset`或`block`。
4. 检查日志与诊断:
display logbuffer
display av statistics
查看是否有AV阻断日志或统计计数异常增长,确认是否误判。
5. 检查硬件资源:
display cpu-usage
display memory
AV处理消耗资源,确认CPU/内存未过载导致丢包。
可能原因:
- AV策略误匹配或动作配置错误。
- 特征库问题或对正常业务流量误判。
- 设备性能不足,AV处理导致会话超时。
临时处理:
在AV策略中为特定业务流量配置`bypass`或`permit`动作,或暂时关闭AV测试以定位。
配置变更前请备份。
它的核心原因是:网络层的连接是通的,但应用层的数据被防病毒引擎当成“威胁”给拦截了。
ping通只代表TCP握手成功,而业务数据不通,正是防火墙在七层进行深度检测后阻断的结果。
原因分析:为什么开了AV就不通了?
你可以把防火墙想象成一个“安检员”。开启AV前,它只检查包裹的地址和门牌号(IP和端口),确认后就放行。开启AV后,它会把包裹拆开,检查里面的具体物品(应用数据),一旦发现可疑(或误判),就会扣下包裹,导致业务不通。
最常见的原因有两种:
协议/文件误判:AV引擎可能把正常的业务流量(比如某个ERP系统的私有协议、加密的数据库连接、甚至是包含特定字符串的HTTP请求)误识别为病毒或攻击流量,直接丢包。
资源耗尽:AV检测非常消耗防火墙的CPU和内存。开启后,如果防火墙性能不足,处理不过来,就会导致业务响应超时或数据包被随机丢弃。
解决方法与排查步骤
建议按以下顺序操作,从“快速验证”到“精细配置”:
第一步:快速验证——确认是否是AV误判
这是最快定位问题的方法,适合在业务中断时进行。
找到业务对应的安全策略:登录防火墙命令行或Web界面,找到匹配你这条端口映射业务的安全策略(
security-policy)。临时取消AV引用:在该策略的配置中,找到引用防病毒配置文件(例如
profile av default)的那一行,暂时将其删除或注释掉。测试业务:取消后立即测试业务是否恢复。
如果恢复:100%确定是AV导致的。转到第二步进行精细配置。
如果未恢复:问题可能不在AV上,可以回头看下安全策略的命中计数,或检查路由、NAT转换等。
第二步:精细配置——为业务流量“开绿灯”
如果确认是AV导致的,正确做法不是关闭AV,而是为这条业务流量创建“例外规则”。
方案A:创建AV例外(推荐)
在防病毒配置文件中,将你的特定业务流量加入白名单。例如,设置一个规则,如果目的地址是内网服务器IP、端口是特定端口(如8080),则不对其进行病毒扫描。这样既能保证业务通畅,又不影响其他流量的安全检测。方案B:调整协议检测策略
如果业务使用的是非标准端口(比如在8080端口跑TCP自定义协议),AV引擎可能会误判。可以检查AV配置中的协议映射,告知防火墙“在这个端口上的流量是可信业务”,从而避免被错误拦截。
第三步:资源检查——排除性能瓶颈
如果经过上面两步后业务通了但速度很慢,或者间歇性不通,需要检查防火墙性能。
使用命令查看:登录命令行,执行
display cpu-usage和display memory,查看CPU和内存使用率是否接近100%。查看会话表:执行
display firewall session table,看是否有大量会话处于异常状态或等待状态。
暂无评论
- 端口映射正常、能通 ping(ICMP 放行);
- 开启 AV 防病毒 后业务端口 TCP/UDP 不通;
- 只 ping 通、业务断 = 七层安全检测拦截应用流量,基础三层连通没问题。
一、根本原因(H3C 防火墙 / UTM 共性)
- AV 引擎对入站映射业务做深度报文检测外网主动访问内网映射端口,流量进防火墙→命中 AV 策略扫描;协议特征、报文畸形、传输行为被判定威胁,直接丢弃会话。
- 会话与缓存压力AV 开启后 CPU / 会话检测开销暴涨,连接握手半开超时。
- 常规配套联动:
- 未放白名单内网服务器 IP / 业务端口
- 默认全局 AV 过滤严格,对非标准端口 / 老旧协议 / 明文 HTTP直接拦截
- 防火墙安全域策略 + UTM 联动误拦截
- TCP MSS、分片报文被 AV 重组检测丢弃
ping 是 ICMP,很多设备 AV不检测 ICMP,所以永远能通;业务 TCP 被深度检测拦截。
二、高频现场诱因
- 映射业务是 明文 HTTP、老旧业务系统、工控 / 旧 ERP,特征库识别为恶意流量
- 自定义非标准端口对外发布,AV 识别异常协议
- 流量分片、MTU/MSS 不合理,AV 重组失败丢包
- AV+IPS + 应用过滤叠加,会话校验严苛
- 设备性能不足,开 AV 后转发瓶颈、TCP 握手超时
三、快速排查定位命令(H3C V7 防火墙)
- 看会话是否建立
display session table destination 内网服务器IP
- 查看 AV 丢弃日志 / 统计
display utm av statistics
display logbuffer | include AV drop
- 核对安全策略是否仅放通基础端口,七层被管控
display security-policy rule
四、立刻恢复业务(稳妥落地做法)
方案 1:给映射服务器 / 端口 AV 白名单(推荐)
- 针对内网真实服务器 IP + 对外业务端口,豁免 AV 扫描
- UTM 全局配置:信任内网服务器网段,不做深度检测
方案 2:关闭该业务协议深度检测临时止血
- 取消对该目的域 / 目的 IP 的 AV profile 调用
方案 3:优化 TCP 分片 & MSS(经典根治)
interface 外网出接口
tcp mss adjust 1360
方案 4:临时最小化验证
五、总结一句话
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论