SANGFOR_AC&拒绝列表

SANGFOR_AC_ALL 拒绝列表专题文档

深信服科技有限公司

2011年06月23日

SANGFOR AC拒绝列表（BYPASS与拦截定位）的

使用专题文档

一、SANGFOR 拒绝列表的作用

拒绝列表即BYPASS与拦截定位功能，用于查询一个数据包在通过AC/SG设备时是被哪个模块拒绝，是什么原因被拒绝，以便快速定位配置错误，也可用来测试一些规则是否生效。

二、SANGFOR 拒绝列表（BYPASS与拦截定位）功能介绍

实时拦截日志：

将打开拒绝列表，此时设备所有的策略依然生效。符合策略设置应该拒绝的数据包会被设备拒绝掉，同时会将符合策略设置应该被拒绝数据包的情况显示出来

实时拦截日志并直通：

设置的上网策略将不生效，符合策略设置应该被拒绝的数据包会被设备放行，同时会将符合策略设置应该被拒绝数据包的情况以日志的方式显示出来。

设置开启条件：

可以根据设置的条件过滤被拦截数据包的日志和开启直通，也可以设置针对哪些IP不开启直通。

三、拒绝列表功能使用案例

3.1案例背景：

客户网络中部署了AC设备后，所有用户都打不开网页，管理员想定位下是AC上的策略设置问题还是公网运营商出现了故障。

3.2拒绝列表功能排查思路：

1.设置开启条件。

如果选择内网某一台电脑做测试，可以只指定这一台电脑的IP地址。

2.开启实时拦截日志并直通。

3.在测试电脑上访问之前通信有故障的应用，开故障是否恢复，如果恢复，说明

是AC设备上的策略拦截了数据包。

4.再查看实时拦截日志，找到被拦截的第一个包的日志（第一个包的拦截日志详

细说明了是AC上哪条上网策略或哪个模块丢弃了数据包）。

5.根据拦截日志的提示修改策略，再关闭直通功能，测试故障是否恢复。

3.3操作步骤和截图：

1.设置开启条件（填入测试电脑的IP地址），开启实时拦截日志并直通。

2.开启拦截日志并直通后，测试电脑尝试打开网页操作，发现可以打开网页，查看实

时拦截日志。由于打开网页的目标端口是80，所以需要查看目标端口为80的拦截日志。

3. 拦截日志提示被防火墙规则丢弃，检查防火墙规则。

4. 删掉错误的防火墙规则，关闭直通，内网电脑打开网页看是否问题修复。

5. 如果问题仍未恢复，则重复操作步骤1-4，直至问题解决。

四、拒绝列表定位丢包标记与模块对应关系

五、拒绝列表英文日志对应的含义

This packet has been dropped by Session flag x!

-->>>WEB认证 web authen

session have been redirect, need drop

HTTP GET请求会话，已经被重订向到login页面，以后该连接的数据都被丢弃

session user had been freezed, need drop

用户被冻结期间，所有数据被丢弃

new packet, check bind mac error

新连接，用户绑定MAC地址与数据包源MAC不一致

new packet, user had been freezed

用户被冻结

new udp packet, need web authen, drop

新的UDP连接，用户尚未通过认证，拒绝

new unknow prot packet, need web authen, drop

未知协议的数据（非TCP、UDP、ICMP），用户未通过认证，拒绝

estabish packet, check bind mac error

已连接数据，用户绑定MAC地址与数据包源MAC不一致

estabish packet, user had been freezed

用户被冻结

estabish packet, not tcp, need web authen, drop

未通过认证，非TCP数据，拒绝

estabish packet, not http, need web authen, drop

未通过认证，非HTTP数据，拒绝

insert new user, have no user node

加入新用户，但缺少节点，可能没内存了

redirect to login page

重订向到login页面，原连接断开

--->>>防火墙 firewall

this packet has been dropped by the url get filter!!

URL过滤，被某种类型拒绝

this packet has been dropped by default url group action

URL过滤缺省拒绝

This packet has been dropped because of matching url get sense keyword!!

搜索引擎关键字过滤

this packet has been dropped because of downloading forbidden file type with http!

下载文件类型过滤

this packet has been dropped because of posting forbidden file

type!

上传文件类型过滤

this packet has been dropped because of matching sense keyword for post!

上传关键字过滤

this packet has been dropped by Internet access rule!

上网权限拒绝

this packet has been dropped by firewall rule!

防火墙规则拒绝

This packet has been dropped by Session flag!

拒绝已经打上标记的连接，在任何模块拒绝了一次数据后，都可能给这个连接打上标记，之后防火墙每次都会把该连接的数据拦截

Content Filter has dropped this packet!

内容检测拒绝

Drop this packet because of using socks proxy!

使用Socks代理，拒绝

Drop this packet because of using http proxy!

使用HTTP代理，拒绝

Drop this packet because of trying to use http proxy!

试图使用HTTP代理，拒绝

this packet has been dropped because of downloading forbidden file type with ftp

FTP下载文件类型过滤

this packet has been dropped because of uploading forbidden file type with ftp

FTP上传文件类型过滤

Drop this packet because the protocol is not HTTP or SSL

在HTTP和SSL标准端口使用非标准协议

this packet has been dropped by Post content filter

HTTP上传过滤，包括关键字和文件类型

--->>>流控 FlowCtrl

Droped for time limit 上网时长限制，上网时间已用完

Droped for group up bound已达到组的上行带宽限制

Droped for user up bound已达到用户的上行带宽限制

Droped for group down bound已达到组的下行带宽限制

Droped for user down bound已达到用户的下行带宽限制

Droped for user up bound(P2P only)已达到用户P2P流量的上行带宽限制Droped for user down bound(P2P only)已达到用户P2P流量的下行带宽限制

--->>>DoS防御-DOS

IP NOT in LAN network!

由于数据包的源IP不在内网网段列表中而被丢弃

IP in SYN(IP) deny list

源IP在拒绝列表中(已经判断为小包攻击), (该IP被封锁, 后续所有数据包都被丢弃)

IP log to SYN(IP) deny list!

记录攻击日志(小包攻击), 封源IP

IP add to SYN(IP) deny list!

源IP被加入到拒绝列表中 (小包攻击, 该IP被封锁)

IP in SYN(MAC) deny list

源MAC在拒绝列表中(已经判断为小包攻击), (该MAC被封锁)

IP log to SYN(MAC) deny list

记录攻击日志(小包攻击), 封源MAC

IP add to SYN(MAC) deny list

源MAC被加入到拒绝列表中 (小包攻击, 该MAC被封锁)

IP in DOS deny list

源IP被加到连接数过多的拒绝列表中, 连接数过多是指对WAN口的某个IP或者AC本身的某个端口建立了过多的TCP连接,例如，内网IP: 192.168.0.1 与外网IP: 202.96.134.133:80 在一分钟内建立的连接超过了阀值, 则导致192.168.0.1这个IP被封锁期间再也连接不上 202.96.134.133:80, 不过换个目的IP或者目的端口后又可以了建立新的TCP连接了

IP add to DOS deny list

源IP被加到连接数拒绝列表中

--->>>P2P智能检测 ContentChecker

Droped by session counter(TCP)连接数控制

Droped by session counter(UDP) 连接数控制

Droped by session counter(ICMP) 连接数控制

Droped by P2P checker P2P智能检测

--->>>准入 ingress

have been redirected,drop ack

HTTP请求连接，已经被重定向到安装页面，该连接被拒绝

need ingress

该用户未通过准入，需要准入

not http get,need ingress

该用户未通过准入，需要准入

have no user node

分配不到用户节点（可能没有内存了）

HTTP/1.0 302 Moved Temporarily Location:

http://x.x.x.x/sinstall.htm……

HTTP GET请求，被重定向到安装页面

--->>>入侵防御系统 IPS

Drop the IP:PORT!

丢弃这个IP该端口的数据包

--->>>内容检测 ContentChecker

Droped by rule:163, ICMP 内容检测规则第163条符合，丢弃。Droped by rule:143, SINAJS内容检测规则第143条符合，丢弃。Droped by rule:120, QQ-MSG[UDP] 内容检测规则第120条符合，丢弃。