IPS(ACG)URL过滤功能故障排查.pdfVIP

IPS(ACG)URL过滤功能故障排查 一、开始 版权所有:杭州华三通信技术有限公司 URL（Uniform Resource Locator，统一资源定位符）过滤是一种网页过滤功能。目前IPS设备 支持自定义URL过滤,ACG设备支持自定义URL过滤和分类URL过滤。 IPS 1、测试过滤效果 URL过滤是否生效，可以通过访问被阻断的网站来测试。在未开启“二 层回退”的情况下，如果访问的网站被成功阻止，或者被返回应答页 面，或者重定向URL成功，这说明过滤功能生效，此时如果需要用云图 排查，大半是因为日志没有。如果过滤功能有异常，甚至配置无误， 那就需要哪找云图的步骤一步步排查了。 2、检查日志设置 在成功被URL过滤阻断的情况下，无法生成日志需要排查是否开启日志 记录或者发送syslog功能，syslog主机是否配置正确。 举例： 在导航栏中选择“URL过滤 策略管理”中选择“新建自定义规则”。想要看到本地日志，需要选 择记录日志时间为“所有时间”，这样当有网站访问被审计时会在本 地显示日志。 版权所有:杭州华三通信技术有限公司 若要将日志输出到syslog主机，需要再导航栏中选择“URL过滤 全局配置”中勾选“输出到syslog主机”，并在“日志管理 日志配置 数据日志”中进行主机设置。 版权所有:杭州华三通信技术有限公司 3、检查引流配置 URL过滤功能要求双向流量都经过设备才能成功生效。如果是单向流， 会导致部分或者全部URL过滤出现问题。因此，首先要检查双向流量是 否引到设备上。 举例： “大概看” 在导航栏中选择“报表 报文统计”中可以看到单向的实时报文统计，如果段的双向都有报文 统计，说明双向流量大概都引到了设备上。 版权所有:杭州华三通信技术有限公司 “仔细看” 在导航栏中选择“带宽管理 策略管理”，新建策略应用，默认规则工作选择“permit notify”，通过带宽管理检测所有流量应用。在日志中过滤出想要的 五元组日志，可以看到访问网站的流量是否双向被检测到，如果检测 到则说明双向引流成功。 版权所有:杭州华三通信技术有限公司 4、查看功能配置 新建自定义规则的配置是否正确，段下发是否正确；有没有激活策略 ，匹配的是正则表达式还是固定字符串，都是要注意的地方。 举例： 全局下必须勾选“使能自定义的URL过滤”。 版权所有:杭州华三通信技术有限公司 固定字符串模式下域名全匹配，注意字符串是否正确。如果要匹配含 有某个字符串的所有域名，建议使用正则表达式。单击域名正则表达 式后面的“帮助”链接，会弹出“正则表达式使用说明”页面，指导 用户如何配置正则表达式。 阻断时间需要在时间表中管理，具体注意事项可以参考配置手册。 记录日志可以选择不记录或者记录。 配置URL过滤时需要注意如下事项： (1)已经应用到段上的URL过滤策略不能删除，需要先将策略应用列表 中该策略的应用全部删除后，才能删除策略。 (2)系统预定义的URL过滤策略和规则不能删除。 (3)一个报文在一个段上只能匹配一条URL过滤策略。当一个段上应用 了多个URL过滤策略，则系统在对报文进行匹配时，会根据策略应用中 指定的IP地址组的精确程度，越精确的（即IP地址范围越小的）策略 版权所有:杭州华三通信技术有限公司 应用越优先匹配；当有多个策略应用的IP地址范围精确程度相同时， 则先配置的策略应用优先匹配。 (4)如果新建策略的过程中某一步骤执行失败，则已经执行过的步骤都 将进行回退；而对修改策略的过程，则不会进行回退。 5、分析客户端抓包 有时候会出现的情况即URL字符串和域名完全匹配，其他url也成功阻 断，就某个网站不生效。URL自定义检查的是http头的host字段，因此 可以通过客户端抓包找到访问网站的报文，在报文中找到host字段， 这个字段的url才是真正的url。实际域名和url不相符的情况时有发生 ，请注意。 举例： 有用户想限制taobao网站，但是在检查了引流，配置之后并未发现问 题，换做其他域名可以成功阻断。通过抓包发现，taobao的host字段 的内容和我们过滤规则中不匹配，可以把下面host中的字 段， 作为