华为防火墙配置了限制一台主机只能访问固定域名和IP的安全策略后打开网站加载速度很慢半天打不开
环景:
华为USG6311E
VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200)
V200R007C00SPC091
PC联想win10专业版
谷歌浏览器版本 88.0.4324.182
问题描述:
华为防火墙配置了安全策略限制一台主机只能访问固定域名和IP地址,开启策略后打开网站速度加载很慢,关闭策略后访问秒开
原因分析:
可能部分域名访问还会跳转请求其他ip站点,未加入可访问策略,防火墙未放行
解决方案:
1.Wireshark抓包,防火墙web页面五元组抓包,防火墙会话采集分析看看有没异常
防火墙采集会话方法:
[USG] dia(进入诊断视图)
在诊断视图下输入:
display firewall session table detail source inside 192.168.1.1 (发起访问的设备的ip 地址,如果是公网地址使用global参数代替inside参数)destination inside 1.1.1.1(目的ip地址,如果是公网地址使用global参数代替inside参数),在发起访问的同时打印该信息*
2.谷歌浏览器按F12打开调试network
3.然后打开只能访问固定域名,查看它跳转请求其他ip站点(这个只是看到一些ip看第四步)
4.将站点要访问其他ip全加入防火墙可访问策略
最好找一台新安装系统别的什么也没安装的电脑测试,你要做策略的目的网站和IP地址,一个一个网站/IP测试,防火墙开启流统看看它们要访问哪些目的IP,收集这些IP
[USG]ACL 3333
[USG-acl-adv-3333]rule 5 permit ip source 测试端ip地址 0 destination 服务器ip 0
[USG-acl-adv-3333]rule 10 permit ip source 服务器ip 0 destination 测试端ip地址 0
[USG]diagnose
[USG-diagnose] firewall statistic acl 3333 enable
采集信息时请不断访问服务器,为了准确性每次都要清空浏览器历史记录,否则可能采集不到有效信息
[USG-diagnose] display firewall statistic acl
Protocol(tcp) SourceIp测试机(192.168.1.152) DestinationIp(1xx.2x.2x.52)
SourcePort(61163) DestinationPort(443) VpnIndex(public)
RcvnFrag RcvFrag Forward DisnFrag DisFrag
Obverse(pkts) : 3 0 0 3 0
Reverse(pkts) : 0 0 0 0 0
关闭流量统计功能
[USG-diagnose] undo firewall statistic
[USG-diagnose] reset firewall statistic acl all清除先前的统计信息。
将这个网站需要访问的目的地址1xx.2x.2x.52加入防火墙允许访问地址列表,有多少个就全要加入
5.检查复盘一下没问题,就OK了?
相关文章
- Impala配置Kerberos认证
- docker运行acme.sh 安装配置泛域名证书
- Let’s Encrypt 通配符证书,泛域名https证书申请配置
- phpStudy环境配置多个站点,绑定域名
- 【云速建站】域名配置指导
- 【K8S】基于coredns配置自定义域名类似配置HOST
- Knative 实战:如何在 Knative 中配置自定义域名及路由规则
- 【Java】 环境变量如何配置?
- haproxy-1.7.7 基于域名的调度配置
- nginx中文域名配置
- gradle配置统一管理
- SAP Spartacus的site context配置参数SiteContextParamsService
- Yarn 内存分配管理机制及相关参数配置
- 【云速建站】域名配置指导
- 【云速建站】域名配置指导
- 【Android Gradle 插件】Gradle 依赖管理 ⑨ ( implementation project 导入依赖库 Module | 导入aar文件作为依赖 | 先配置仓库再导入依赖 )
- Elasticsearch初步使用(安装、Head配置、分词器配置)
- maven 环境搭建 Myeclipse配置
- Node的安装与环境变量的配置
- 如何在editplus中配置ctags?
- DNS域传送漏洞——由于DNS服务器配置不当,可能导致攻击者获取某个域(域名)的所有(子域名)记录
- lumen发送邮件配置
- SGI STL二级空间配置器内存池的源码移植项目
- RustDesk自建中转服务器如何自己编译 RustDesk客户端,将企业固定IP/域名写进客户端,客户端安装无需配置直接使用(三)
- Mac安装IntelliJ IDEA配置go语言环境
- 华为三层交换机 VLANIF 配置