天天看点

华为防火墙配置了限制一台主机只能访问固定域名和IP的安全策略后打开网站加载速度很慢半天打不开

环景:

华为USG6311E

VRP ® Software, Version 5.170 (USG6300E V600R007C00SPC200)

V200R007C00SPC091

PC联想win10专业版

谷歌浏览器版本 88.0.4324.182

问题描述:

华为防火墙配置了安全策略限制一台主机只能访问固定域名和IP地址,开启策略后打开网站速度加载很慢,关闭策略后访问秒开

原因分析:

可能部分域名访问还会跳转请求其他ip站点,未加入可访问策略,防火墙未放行

解决方案:

1.Wireshark抓包,防火墙web页面五元组抓包,防火墙会话采集分析看看有没异常

防火墙采集会话方法:

[USG] dia(进入诊断视图)

在诊断视图下输入:

display firewall session table detail source inside 192.168.1.1 (发起访问的设备的ip 地址,如果是公网地址使用global参数代替inside参数)destination inside 1.1.1.1(目的ip地址,如果是公网地址使用global参数代替inside参数),在发起访问的同时打印该信息*

2.谷歌浏览器按F12打开调试network

3.然后打开只能访问固定域名,查看它跳转请求其他ip站点(这个只是看到一些ip看第四步)

华为防火墙配置了限制一台主机只能访问固定域名和IP的安全策略后打开网站加载速度很慢半天打不开

4.将站点要访问其他ip全加入防火墙可访问策略

最好找一台新安装系统别的什么也没安装的电脑测试,你要做策略的目的网站和IP地址,一个一个网站/IP测试,防火墙开启流统看看它们要访问哪些目的IP,收集这些IP

[USG]ACL 3333

[USG-acl-adv-3333]rule 5 permit ip source 测试端ip地址 0 destination 服务器ip 0

[USG-acl-adv-3333]rule 10 permit ip source 服务器ip 0 destination 测试端ip地址 0

[USG]diagnose

[USG-diagnose] firewall statistic acl 3333 enable

采集信息时请不断访问服务器,为了准确性每次都要清空浏览器历史记录,否则可能采集不到有效信息

[USG-diagnose] display firewall statistic acl

Protocol(tcp) SourceIp测试机(192.168.1.152) DestinationIp(1xx.2x.2x.52)

SourcePort(61163) DestinationPort(443) VpnIndex(public)

RcvnFrag RcvFrag Forward DisnFrag DisFrag

Obverse(pkts) : 3 0 0 3 0

Reverse(pkts) : 0 0 0 0 0

关闭流量统计功能

[USG-diagnose] undo firewall statistic

[USG-diagnose] reset firewall statistic acl all清除先前的统计信息。

将这个网站需要访问的目的地址1xx.2x.2x.52加入防火墙允许访问地址列表,有多少个就全要加入

继续阅读