环景:
华为USG6311E
VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200)
V200R007C00SPC091
PC联想win10专业版
谷歌浏览器版本 88.0.4324.182
问题描述:
华为防火墙配置了安全策略限制一台主机只能访问固定域名和IP地址,开启策略后打开网站速度加载很慢,关闭策略后访问秒开
原因分析:
可能部分域名访问还会跳转请求其他ip站点,未加入可访问策略,防火墙未放行
解决方案:
1.Wireshark抓包,防火墙web页面五元组抓包,防火墙会话采集分析看看有没异常
防火墙采集会话方法:
[USG] dia(进入诊断视图)
在诊断视图下输入:
display firewall session table detail source inside 192.168.1.1 (发起访问的设备的ip 地址,如果是公网地址使用global参数代替inside参数)destination inside 1.1.1.1(目的ip地址,如果是公网地址使用global参数代替inside参数),在发起访问的同时打印该信息*
2.谷歌浏览器按F12打开调试network
3.然后打开只能访问固定域名,查看它跳转请求其他ip站点(这个只是看到一些ip看第四步)
4.将站点要访问其他ip全加入防火墙可访问策略
最好找一台新安装系统别的什么也没安装的电脑测试,你要做策略的目的网站和IP地址,一个一个网站/IP测试,防火墙开启流统看看它们要访问哪些目的IP,收集这些IP
[USG]ACL 3333
[USG-acl-adv-3333]rule 5 permit ip source 测试端ip地址 0 destination 服务器ip 0
[USG-acl-adv-3333]rule 10 permit ip source 服务器ip 0 destination 测试端ip地址 0
[USG]diagnose
[USG-diagnose] firewall statistic acl 3333 enable
采集信息时请不断访问服务器,为了准确性每次都要清空浏览器历史记录,否则可能采集不到有效信息
[USG-diagnose] display firewall statistic acl
Protocol(tcp) SourceIp测试机(192.168.1.152) DestinationIp(1xx.2x.2x.52)
SourcePort(61163) DestinationPort(443) VpnIndex(public)
RcvnFrag RcvFrag Forward DisnFrag DisFrag
Obverse(pkts) : 3 0 0 3 0
Reverse(pkts) : 0 0 0 0 0
关闭流量统计功能
[USG-diagnose] undo firewall statistic
[USG-diagnose] reset firewall statistic acl all清除先前的统计信息。
将这个网站需要访问的目的地址1xx.2x.2x.52加入防火墙允许访问地址列表,有多少个就全要加入