一、 问题现象:
客户的防火墙F1000-C-G在带宽管理策略的配置处,做了P2P模块相应的下载限制,配置之后发现在电脑上登录微信时,扫码界面的二维码加载不出来,将P2P下载限制取消之后就可以正常加载。客户猜想可能是P2P下载限制了二维码的加载,但是不确定具体是里面哪个模块与二维码加载产生了冲突。客户具体配置和现象反馈如图:
图1.1 设备新建了带宽管理策略
图1.2带宽管理策略的配置里面配置了P2P模块,动作设置为阻断
图1.3客户端无法获取二维码 图1.4 P2P动作改为允许后加载正常
一、 组网
根据客户反馈的实际情况,初步猜想,可能是由特征库误识别造成的。待客户反馈了设备软件版本、硬件信息和特征库版本信息后,根据客户实际组网的情况,在实验室搭建了相类似环境进行测试。
图2.1 模拟客户组网拓扑环境
步骤一:
首先,怀疑特征库的误识别问题,先将设备的特征库升级到最新,验证最新特征库对这方面应用的数据流是否有优化识别的措施。设备有两个特征库,一个是IPS特征库,里面包含了APP应用识别和IPS攻击防范的内容;一个为病毒库,里面包含AV特征库的内容。针对带宽管理的应用,我们升级IPS特征库。
图3.1 将设备的IPS特征库升级到官网最新2.1.323版本
接下来将带宽管理策略里的P2P模块配置为阻断,并且输出日志信息,同时在PC客户端上实时抓包。
图3.2 在带宽管理策略里面配置P2P模块的动作为阻断并输出日志
这时打开微信客户端验证,发现现象跟客户现场的一致,二维码无法成功加载,多次刷新后现象也一致。
步骤二:
根据步骤一的现象,我们的猜想得到了初步的验证。但还需检测出是P2P中哪个模块的影响。
图3.3 设备服务管理里面P2P模块展开的信息
我们阻断的动作里面设置了日志输出,即结合抓包信息,只要找到相应的地址里面对应日志的阻断信息,就可以判断出P2P模块下哪个子项的协议起了作用。
图3.4 带宽管理日志的信息
在带宽管理日志里面看到,P2P模块的Download of MultiThread应用协议匹配到了阻断的动作。对照抓包信息,发现140.207.54.116等报文都出现了TCP交互失败的内容;查找P2P模块的内容,找到相应的模块。
图3.5 日志里面的几个被阻断IP都出现TCP交互失败的报文
图3.6 Download of MultiThread应用协议相对应的服务模块
由上面的抓包信息和服务管理里面模块、应用协议的信息,可以发现是P2P服务里面的多线程下载这个子项对应了此协议。
步骤三:
接着,我们将P2P模块动作改为允许,微信客户端二维码就能正常加载了,更加确定了这一模块引起的误识别问题。
那么这样的问题是否有规避方法呢?
首先,我们考虑这个模块是否能取消勾选。在设备的WEB页面上操作发现,P2P模块只能进行整体的操作,不能对里面单独的子项进行增加、删减等操作。接着,我们发现带宽管理策略在被引用的时候,可以设置例外IP地址。通过设置例外IP地址的方法,可以让客户指定需要使用微信客户端的PC在设备上做IP与MAC地址绑定,然后设置为例外IP,P2P模块的阻断动作就不会对这些IP地址所绑定的终端生效了。
图3.7 带宽管理策略引用的时候设置例外IP
设置例外IP地址的方法可以对需要使用微信客户端操作的终端实现免P2P模块的阻断动作的效果,达到一时的规避效果,但一般客户都是要求所有用户都要实现这一操作,所以这种做法并不能完全解决客户问题。
最后,反馈特征库误识别问题给产品线研发,推动改进此特征库P2P服务模块对多线程下载这一应用数据流的识别方法。特征库进行改进更新以后,导入客户设备,问题解决。
遇上特征库误识别的问题,可以采取以下步骤验证
1、收集客户设备版本信息、特征库版本信息,搭建环境模拟客户实际组网进行测试。
2、查看日志内容,查看是哪个服务模块阻断了与有关IP地址的交互。
3、查看服务模块对应的应用协议,找出是哪个基本模块的问题。
4、可以采取例外IP的规避措施达到让一部分有这个需求的终端,跳过有问题的服务模块的阻断动作。
5、反馈产品线研发,更新特征库解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作