深信服上网行为管理-策略排错指南

1、深信服上网行为管理策略排错指南培训内容培训目标上网策略不生效1.掌握上网权限策略不生效的排查思路和排查方法审计策略不生效2.掌握上网审计策略不生效的排查思路和排查方法流控策略不生效3.掌握上网流控策略不生效的排查思路和排查方法上网策略不生效上网策略不生效如图，AC路由部署在公网出口，内网用户通过AC进行上网行为控制，客户要求封堵迅雷下载，结果发现通过迅雷还是可以下载资源。如何排查？排查思路：1. 检查上网权限策略是否与用户关联2. 检查是否开启直通或者排除IP3. 检查用户是否关联了多条上网权限策略4. 检查应用规则库是否为最新5. 检查是否有自定义应用6. 检查拒绝的应用与实际识别出的应用是

2、否对应上网策略不生效步骤1 检查用迅雷封堵的策略和用户是否已关联，该策略是否启用，是否开启直通或者排除IP步骤2 检查用户是否关联了多条策略，如果有，请注意多条策略的匹配顺序1. 多条策略间的匹配顺序为从上往下匹配2. 可以在上网策略调节策略间的顺序上网策略不生效步骤3 检查应用规则库是否已经更新到最新版本，若不是请更新更新应用规则库前请先更新网关补丁！上网策略不生效步骤4 检查是否有自定义应用，不建议自己定义应用，容易引起应用识别异常 删除！上网策略不生效步骤5 检查“迅雷封堵”策略拒绝的应用，是否存在与迅雷下载时识别出来的应用不一致，或者不完整的情况！上网策略不生效方法一： 测试用户只开启

3、迅雷下载，查看用户流量排行，观察实时识别出来的应用都有哪些，然后添加到“迅雷封堵”策略中拒绝掉上网策略不生效方法二： 用户测试使用迅雷下载，然后在数据中心查询用户的上网行为日志，确认哪些应用已经被拒绝，哪些应用只是被记录，添加到上网策略拒绝审计策略不生效审计策略不生效如图，AC路由部署在公网出口，内网用户通过AC进行上网行为控制，客户要求审计内网用户的所有上网行为,结果发现内网有大部分的应用(包括邮件、QQ聊天内容)没有审计到，如何排查？排查思路：1. 开启多功能序列号并且应用规则库是否为最新2. 检查是否添加了全局排除IP,日志优化是否排除3. 检查上网审计策略是否与用户关联4. 检查用户是

4、否关联了上网准入策略(监控QQ)5. 检查上网权限策略是否开启SSL内容识别加密邮件并且关联用户6. 检查是否有自定义应用审计策略不生效步骤1 检查多功能序列号是否开启，应用规则库保持最新。步骤2 检查上网策略策略是否与用户关联，是否添加排除IP，是否优化审计URL。审计策略不生效步骤3 检查用户是否关联了上网准入策略审计策略不生效步骤4 检查上网权限策略是否开启SSL内容识别加密邮件并且关联用户流控策略不生效流控策略不生效如图，AC路由部署在公网出口，内网用户通过AC进行上网行为控制，客户要求限制迅雷下载速度，不超过50KB/S。结果发现通过迅雷下载资源速度还是超过了限制。如何排查？排查思路：1. 检查流量管理系统是否全局启用2. 检查是否开启直通或者排除IP，流控通道是否有排除策略3. 检查是否有多条流控通道4. 检查应用规则库是否为最新5. 检查是否有自定义应用6. 检查流控的应用与实际识别出的应用是否对应7. 检查流控是否生效流控策略不生效步骤1 检查流量管理系统是否全局启用一定要注意开启！步骤2 检查是否开启直通或者排除IP，流控通道是否有排除策略影响到限制迅雷下载，需要删除流控策略不生效步骤3 检查是否有多条流控通道，注意流控通道之间的影响，是否流控通道匹配错误步骤4 检查应用规则库是否为最新步骤5 检查是否有自定义应用步骤6 检查流控的应用与实际识别出的应用是否对