ACG-1000 过滤url出现问题

您好，看下是否是http和https的原因

360浏览器能生效，但Chrome不生效，这确实是ACG-1000的一个常见问题。核心原因在于：Chrome、Edge等新版浏览器使用的加密协议更新，导致您当前的ACG设备版本无法正确识别或处理。

要根本解决问题，最有效的方案是升级设备的系统版本。以下是详细的原因分析和操作指导。

🎯 核心原因分析：为什么Chrome不生效？

您遇到的问题是设备软件对新版浏览器协议兼容性不足，主要有以下两个具体表现：

• TLS 1.3 协议兼容性：Chrome、Edge等新版浏览器默认优先使用更安全的 TLS 1.3 协议进行加密通信。而您设备当前运行的版本（如 R3.1.140 所属的6611分支）不支持解析TLS 1.3报文，导致流量被误判或绕过。相反，360浏览器可能因内核版本或设置原因，降级使用了设备支持的 TLS 1.2 协议，因此策略能够生效。

• Client Hello 分片问题：新版浏览器的TLS握手包（Client Hello）中，某些字段（如用于密钥交换的 key_share）长度变大，导致数据包被分片发送。设备无法识别这种分片报文中的服务器名称指示（SNI），进而无法匹配正确的URL过滤策略，最终导致放行。

⚙️ 根本解决方案：升级系统固件

这是最彻底的解决方法，官方建议升级至6616P04或更新的版本，这些版本已修复上述兼容性问题。

在升级前，请注意以下关键步骤：

1. 确认当前版本
   登录ACG设备，在Web界面查看系统信息，确认您当前的软件版本，这将有助于评估升级风险。

2. 获取并升级固件

   • 下载固件：访问H3C官方网站，根据设备型号查找并下载所需的固件版本（如 R6618P02 等年度稳定版）。请仔细阅读版本说明书，了解新版本的功能、修复的问题以及升级注意事项。

   • 执行升级：按照H3C官方指导进行升级。通常路径为“系统管理 > 系统升级”。为确保数据安全，请务必提前备份设备配置。

   • 升级特征库：完成系统升级后，建议同步更新“应用识别特征库”和“URL分类特征库”，以确保设备能识别最新的应用和网站。

一、根本原因（一句话）

二、具体 3 个原因

1. TLS 1.3 不兼容（最常见）
   • Chrome/Edge 默认 TLS 1.3
   • ACG-1000 R6611、R3.x 等老版本不支持 TLS 1.3 SNI 识别
   • 360 用 TLS 1.2 → ACG 能正常读 SNI → 过滤生效
2. Client Hello 分片（SNI 读不到）
   • 新版 Chrome/Edge 的 key_share 等扩展字段超长（>1200 字节）
   • 触发 TCP 分片，ACG 无法重组 → 读不到 SNI → 过滤失效
   • 360 内核保守、不触发分片 → 正常
3. HTTP/2、QUIC（HTTP/3）影响
   • Chrome 默认 HTTP/2、QUIC（UDP 443）
   • ACG 老版本 不识别 HTTP/2、完全不识别 QUIC
   • 流量直接 “穿透”，不进 URL 过滤规则

三、100% 复现判断（你可以自测）

• 360 浏览器：URL 过滤正常阻断 / 放行
• Chrome/Edge：完全不生效、能直接访问
• ACG 日志：Chrome 访问无 URL 日志、或显示 “未知应用”

四、4 步快速解决（优先级从高到低）

1. 升级 ACG 固件（根治）

• 解决：TLS 1.3 识别、Client Hello 分片重组、HTTP/2 解码
• 下载：H3C 官网 → 安全 → ACG1000 → 主机软件
• 推荐版本：R6616P04 / R6616P05 / R6620 系列

2. 临时规避：禁用浏览器 TLS 1.3、QUIC

• Edge 操作一样：edge://flags/

3. ACG 开启 HTTPS 过滤（SNI 模式）

4. 清除会话、清浏览器缓存

• 浏览器：清缓存 + 重启

五、你当前组网（二层网桥）不影响

• 网桥 / 路由模式 不影响 TLS/SNI/URL 过滤
• 问题纯在 ACG 版本与现代浏览器协议兼容性

六、总结

• 临时：浏览器禁用 TLS 1.3 + QUIC
• 永久：升级 ACG 到 R6616P04+