手册下载
H3C SecPath Web应用防火墙
故障处理手册
Copyright © 2017 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
在目前网络状况越来越复杂的情况下,只通过表面的故障现象,进行定位和恢复是非常困难的。掌握系统的故障处理理论,可以科学的将复杂的故障问题分解为多个模块,缩小故障范围。
故障的处理难以根据现象直接推导出故障原因,不同原因可能会导致相同的故障现象。本节提供的故障处理流程主要用于指导用户科学地处理故障,有效地将故障范围缩小。从而达到提高故障处理效率,减少处理时间的目的。
在目前网络应用越来越多的情况下,网络组成也越来越复杂。这种情况导致一旦设备出现故障,进行定位和处理也更加困难。系统化的故障处理,有利于将大型、综合、复杂的现象分隔缩小范围,从而达到对故障现象的准确定位,如图1-1所示。
(1) 信息收集:发生故障后应该第一时间收集故障的相关信息,而不是盲目的进行故障恢复。
(2) 故障定位:根据收集的故障信息,进行故障的初步定位,从而有效的缩小故障的范围。
(3) 列举可能原因:根据定位后的结果,列出所有的可能原因。
(4) 制定方案:以故障原因的可能性大小,辅助参考是否容易实施,制定故障排查的顺序,同时每种原因也要制订故障排查方案。
(5) 故障排查:按照方案依次进行故障的排查,根据排查结果决定是否继续排查下一个原因。
(6) 恢复初始状态:在排除特定故障后,如果没有解决问题,需要恢复为故障的初始状 态,避免引入其他故障。
(7) 故障记录:完成故障处理后,需要将故障排查过程进行文档化记录,以便故障排查 经验的记录和传递。
收集信息是进行故障定位的基础,信息收集得越完整越及时,就越有利于准确快速的定 位。
通常故障现象是由最终用户发现异常,设备管理员在收到报告后应第一时间完成确认。通过与上报故障的最终用户沟通,可以收集到较多有效故障描述信息。通常由用户直接报告的故障现象描述并不完整,需要引导用户提供更详细准确的信息。通常比较有效的提问包含:
· 是某个业务故障还是所有业务故障?
· 什么时候出的故障,之前工作是正常的吗?
· 故障现象是持续发生,还是间断性的发生?
· 是否可以重现?重现步骤是什么样的?
· 故障发生后,您又做了哪些故障恢复操作,结果如何?之前是否发现过类似故障,如何解决的?
从受故障影响的用户收到报告,并收集到一些故障现象后。还需要从其他相关用户那里继续收集有用的信息,以辅助进行定位判断。通常需要确认:
· 其他人是否出现相同或类似故障?
· 发生故障时是否修改了配置?正常情况下是什么样的?
· 发生故障前,用户可能做了哪些操作,操作的顺序是什么样的?
· 网络拓扑结构。
· 从设备的历史记录中获取大量重要信息,如各个链路的流量图、设备的CPU状态、告警日志等信息。
故障定位的目的是找出故障的原因,是故障处理中的核心工作。是否可以准确定位依赖于前面收集到的故障信息,信息收集的越完整越准确就越可以准确快速的定位。
网络出现故障的原因较多。通常在刚完成配置情况下出现网络故障的原因为:
· 配置错误或者不完整。
· 配置的策略过于严格。
· 设备/协议兼容性问题。
对于实际运行网络中出现的故障,通常是因为:
· 设备变更,如配置修改、版本升级等。
· 网络中链路故障。
· 周边设备配置改动。
· 流量异常,如突发超高流量。
· 硬件故障。
在处理故障时可以将WAF设置为Bypass状态来初步判断是否是WAF出现故障。
故障处理的目的是消除故障现象,恢复网络正常运转,同时不会引起其他故障。
通过收集的故障现象列举可能的原因。该步骤通常需要故障人员具有较高的技术水平和经验。根据用户的技术水平不同,可以列举出的可能原因的数量是不一样的。WAF故障处理流程如图1-2所示。
图1-2 WAF故障处理流程
制定故障排查方案时需要考虑如下多种情况,用户需要根据自己的网络状况、故障严重程度进行调整。
· 确定可能原因排查的顺序
· 制定故障排查方案,需要确定各故障原因的排查顺序。以故障原因的可能性大小为主,并参考排查的成本、排查的便利性进行排序。
· 确定各原因故障排查定位的方法和工具
· 设备提供了多种故障诊断的方法和工具,这些工具和方法适用的情况各不相同。需要在制定方案时就确定,用哪种工具可以唯一的确定或排查是否该原因导致。
· 确定各故障排查的时间
· 这些故障排查方法需要尽量安排在流量较小的时间,比如需要对运营商的网络作设备的替换,因为受影响用户比较多,一般会选择凌晨2~3点进行排查。当然,如果用户对可能造成的网络故障不太敏感,则不需要考虑排查时间的问题。
· 确定故障原因后的处理方式
· 在确定故障原因后,需要明确故障恢复的步骤,避免再次造成网络故障。
在完成方案制定后,按照方案依次进行故障排查。在进行排查之前,需要将网络恢复到实施上一个循环前的状态。如果保留上一方案对网络的改动,可能会对故障跟因的定位产生干扰并且可能导致新的故障。
收集的诊断信息主要包括、当前配置、接口信息、故障时间、系统版本、告警日志等大量有用信息。在设备发生故障后,请将收集的诊断信息发送给技术支持,会有助于尽快完成故障的定位和解决。
可以通过WAF上的抓包工具进行抓包,然后对数据包进行分析,如图1-3所示。
图1-3 WAF抓包工具
通过将系统诊断日志导出,能够更好的分析WAF的CPU、内存、硬盘等系统日志信息以便于更好的进行故障排查。
(1) 选择[事件/系统事件] ,单击[导出数据文件]按钮,如图1-4所示。
(2) 保存系统事件
通过查看设备的接口系统状态、硬件信息、软件版本、资源使用率等信息能够有助于加快故障的排除。
故障设备使用的系统软件的版本是进行定位的重要信息。
选择[监控/系统负载/系统状态],如图1-5所示。
查看接口的状态信息常用于定位设备接口对接故障、查看报文丢包统计。
选择[监控/接口状态],如图1-6所示。
网络接口说明表如表1-1所示。
参数名称 |
说明 |
指派 |
接口所属网桥或HA口、管理口。 |
接口 |
接口的名称。 |
状态 |
接口是否运行,其中网络设备的状态为绿色表示该网络接口已连接到网络,并且工作正常,灰色表示网卡未接网线。 注:设备切换到物理直通时,网卡状态也会显示为灰色。 |
TX |
发送流量。 |
RX |
接收流量。 |
packets |
接口处理的数据包的数目。 |
bytes |
接口处理的字节数。 |
errors |
错误的数据包个数。 |
overruns |
超出的数据包个数。 |
dropped |
丢弃的数据包个数。 |
系统资源包含CPU、内存、硬盘。在用户上网速度变慢的情况下,可以查看设备的CPU和内存使用率,确认是否资源不足。在需要系统版本更新前,请查看硬盘是否有足够空间。
选择[监控/系统负载/硬件使用],如图1-7所示。
查看流经设备的实时流量大小及流量历史记录。
选择[监控/ 接口流量/选择相应的网络设备(接口)]如图1-8所示。
系统事件和告警事件是发生故障后重要的参考信息,发生故障时产生的告警和日志可以帮助维护人员尽快完成定位。
系统日志记录的是WAF系统事件的名称和发生时间。系统事件主要包括CPU使用率、磁盘使用率、内存使用率等信息。
选择[事件/系统事件],如图1-9所示。
系统事件主要对系统事件发生的时间、等级进行记录,如表1-2所示。
参数 |
参数说明 |
发生时间 |
指系统日志产生的时间。 |
等级 |
指系统日志的风险等级,风险等级分为告警和严重。 |
事件 |
指产生系统日志的事件。 |
告警日志是对攻击事件的记录审计,常见的攻击行为有SQL注入、XSS、CSRF等攻击行为都可以通过告警日志进行记录。告警日志记录的内容主要有攻击者IP地址、攻击特征、攻击时间、URL地址等内容,通过告警日志能够更好的协助管理员及时的了解攻击行为和攻击来源。
选择[事件/应用防护],如图1-10所示。
告警日志详细信息如图1-11所示。
告警事件详细信息参数说明如表1-3所示。
序号 |
参数说明 |
主机名 |
指请求头的host字段,一般指域名。 |
事件 |
指什么攻击事件,示例中指SQL注入攻击。 |
发生时间 |
指攻击事件发生的时间。 |
攻击特征串 |
指攻击事件的特征串。 |
威胁 |
指攻击事件的危害等级。 |
发规则 |
指本次攻击事件触发的规则。 |
动作 |
指当用户访问符合某条规则时,WAF采取的保护措施。 |
标签 |
指攻击事件的规则集,如SQL注入。 |
HTTP/S响应码 |
指攻击事件发生后,WAF或服务器的响应码,如200、403,WAF开启防护后该字段为WAF的响应码,一般为403。 |
客户端 |
指攻击者的IP地址。 |
服务器 |
指攻击者攻击对象(服务器)的IP地址。 |
URL地址 |
指攻击者访问的URL地址。 |
客户端环境 |
指攻击者所使用的浏览器类型,示例中为IE8.0。 |
客户端地域 |
指攻击者所在的地理匹配,示例中为局域网。 |
唯一编码 |
指应用防护日志的唯一哈希值,用于日志统计。 |
对设备配置信息定期的进行备份,以便于出现故障后可以尽快回复。将设备恢复出厂配置以便进行重新配置。
配置信息是设备的重要数据。在设备正常运行后,建议定期将配置文件进行备份,以便于出现故障后可以尽快恢复。
(1) 选择[配置/配置管理],如图2-1所示。
(2) 选择需要导出的配置,单击<导出>按钮,如图2-2所示。
(3) 单击<浏览>按钮选择相应的配置文件,恢复配置,如图2-3所示
恢复出厂配置可将配置信息恢复至出厂时的缺省配置。恢复出厂配置将导致当前配置丢失,操作前请确认是否需要备份配置。
(1) 选择[系统/系统维护],单击<恢复出厂设置>按钮,如图2-4所示。
(2) 恢复出厂设置后系统会提示重启,重启后将清空设备的配置。
WAF提供前台导入系统升级包的方式对系统进行升级。
(1) 升级前备份配置,版本升级后会清空设备配置。点击[配置/配置管理],在升级前导出配置(如保护站点、规则、HA等配置,可选择全选导出所有配置项)。
(2) 升级前备份日志,版本升级后会清空设备日志。点击[系统/数据管理/创建新备份],将日志备份后下载。
(3) 为避免升级失败,升级前建议备份管理口IP信息、设备许可等信息。
(4) 开始升级:点击[系统/系统升级],将升级包上传后进行更新。升级成功后将设备重启。重启完成后,点击右下角的关于产品,查看版本号是否为升级后的版本。
(5) 升级后导入之前备份的配置,并验证网站访问和防护是否正常。
(6) 升级完成。
WAF提供前台导入补丁包的方式对系统进行补丁升级。
(1) 选择[系统/系统升级],选择补丁包进行上传,如图2-5所示。
(2) 点击<开始升级>按钮进行补丁升级,如图2-6所示。
WAF可定期对黑名单特征库进行升级,目前支持离线升级包方式进行升级。
(1) 选择[配置/配置管理],将保护站点及规则中的规则组和自定义规则配置导出。
(2) 选择[规则/规则升级],将规则升级包上传,如图2-7所示。
(3) 上传成功后选择[操作 / 开始升级],确认升级后系统会自动应用更改将本次规则升级进行生效,如图2-8所示。
(4) 选择[规则/规则升级]查看升级内容,如图2-9所示。
当出现网络故障时可以将WAF切换为bypass状态,可以初步判断是否是WAF出现故障。当WAF切换到物理直通状态后设备保护组两个网络接口呈短路状态,WAF不再处理过往的流量。
(1) 选择[系统/系统维护/运行切换模式],如图3-1所示。
(2) 将“正常模式”改为“物理直通”,如图3-2所示。
当WAF设备上架之后,如果出现网络故障或网站无法访问的情况,可以将WAF设备下架,将网络恢复到原来的拓扑,再观察网络是否恢复正常。
介绍无法登录设备的Web配置界面的故障处理过程。
无法登录设备的Web配置界面或者页面出错。
首先使用Ping检测WAF管理口IP是否存活,如果WAF管理口IP无法Ping通则需要查看一下网络连通性是否正常及排查线路是否正常。
首先使用Ping检测WAF管理口IP是否存活,如果WAF管理口IP无法Ping通则需要查看一下网络连通性是否正常及排查线路是否正常。
介绍无法登录设备的Console口的故障处理过程。
启动后配置终端无显示信息或者输出无法阅读的乱码。
· 核对串口参数,确认是否配置正确。
· 查看设备面板指示灯,确认是否电源故障。
· 重新插拔线缆或更换线缆,确认是否线缆故障。
(1) 首先查看类型是否为正确的COM口,并且参数如下:
· 波特率:115200
· 数据位:8
· 停止位:1
· 奇偶位:无
· 流控:无
(2) 查看设备面板指示灯,如果Power和HDD灯是亮的,则排除电源故障。否则可确定为整机不上电。
(3) 查看设备面板指示灯,如果Power和HDD灯是亮的,则排除电源故障。否则可确定为整机不上电。
介绍管理IP丢失后如何恢复的故障处理过程。
WAF管理IP无法Ping且无法通过管理IP进行Web管理。
(1) 打开超级终端,如图4-1所示。
(2) 新建连接,如图4-2所示。
(3) 确定连接COM口,如图4-3所示。
(4) 设置COM口的属性,还原为默认值,再修改每秒位数为115200,如图4-4所示。
(5) 显示登录对话框,如图4-5所示。
(6) 使用系统用户admin登录管理WAF设备。用户名为admin,密码为admin,主菜单界面如图4-6所示。
在主菜单界面输入数字2,回车,如图4-7所示。
(7) 在主菜单界面中输入数字1,回车,如图4-8所示。
(8) 在菜单输入需要修改的IP地址、掩码、网关地址、DNS地址即可。
介绍管理员密码丢失后如何恢复的故障处理过程。
Web密码丢失后请通过Console口登录设备的命令行来恢复。
(1) 使用账号admin、密码admin登录Console,如图4-9所示。
(2) 输入数字2,回车,如图4-10所示。
(3) 输入数字4,回车,如图4-11所示。
(4) 输入数字2,并输入前台默认密码admin,按Y确认重置密码,如图4-12所示。
介绍Console口(用户名:admin)的密码丢失后如何恢复的处理过程。
如果Console口密码丢失,只能联系厂商技术支持进行恢复。
激活License失败时通常会有提示信息,请根据提示信息处理。
激活License文件时提示出错,激活失败。
· License文件与设备序列号和硬件不匹配。
· License文件错误。
· License已过期。
(1) 检查确认License文件是否匹配设备产品信息,如设备序列号及设备硬件信息,如果有问题请重新申请License文件。
(2) 检查确认License文件是否与系统软件版本不匹配,请尝试升级软件版本后再激活License。
(3) 检查确认License是否过期,如果过期请续购License。
指示灯的亮、灭、闪烁为用户提供了大量可用信息,是进行硬件故障定位的重要手段。
WAF前面板指示灯说明,前面板指示灯说明如表6-1所示。
前面板指示灯 |
颜色 |
含义 |
PWR |
绿色 |
常亮:电源输出正常。 不亮:电源未上电或电源输出故障。 |
LOG |
绿色 |
闪烁:说明设备正常; 不亮:设备未上电或没有读取硬盘数据。 |
电口指示灯说明如表6-2所示。
电口指示灯 |
颜色 |
含义 |
LINK |
绿色 |
常亮:表示链路已经连通。 熄灭:表示链路没有连通或链路处于bypass状态。 |
ACT |
黄色 |
闪烁:表示有数据收发。 熄灭:表示没有数据收发或链路处于bypass状态。 |
介绍电源发生故障时的处理过程。
整机没有上电,指示灯全部不亮,风扇不转。
· 未打开电源开关。
· 设备的输入电源有故障。
· 设备本身的电源模块有故障。
(1) 确认是否未打开设备电源或供电电源的开关。
(2) 确认是否外部输入电源是否有故障。通过使用其他可正常供电的电源输入,替换出现故障的线路。如果可以正常供电,可以确认是设备的输入电源有故障。
(3) 如果使用其他可以正常供电的电源输入,设备仍然不能正常上电。可以确认是设备本身电源模块有故障,请与技术支持联系。
介绍WAF发生开机异常时的处理过程。
WAF开启之后,其管理地址无法Ping通、Web页面无法登陆。通过Console登陆之后没有显示任何信息或者出现乱码。
· 硬件原因:磁盘损坏,设备无法加载硬盘信息。
· 操作系统损坏:因操作系统损坏导致设备无法正常加载系统。
· WAF固件原因。
(1) WAF设备启动时要检查开机电源指示灯(PWR)是否正常以及硬盘指示灯(LOG)是否闪烁,如果硬盘指示灯没有任何的闪烁则表示设备没有正常加载硬盘信息;如果正常再通过Console口检查是否有异常信息,如果没有任何提示信息可以判断为硬件故障。
(2) 如果在WAF设备启动的过程中通过Console界面发现有异常信息的输出,可以判断为操作系统损坏或WAF固件原因。
介绍电口物理状态为down时的故障处理流程。
WAF接入到网络中时,WAF接口指示灯不亮。
· 设备部署在透明代理模式下开启了端口检测功能,网桥内任意一个接口down,在指定的时间内如果该接口没有起来,则设备会切换为“物理直通模式”。
· WAF所连接交换机接口被禁用。
· 两端设备的底层芯片实现的自协商协议不一致。
· 两端接口配置的速率或协商模式不同。
· 网线存在问题。
· 接口卡存在问题。
(1) WAF部署为透明代理模式并且开启了端口检测功能,只要改网桥内一个端口变为down,超过指定的时间后,网桥内的两一个接口也会变为down,且部署模式变为“物理直通模式”。
选择“配置>网桥配置”,查看设备是否在网桥内开启了端口检测功能。
· 已启用网桥内端口检测功能
如果已启用端口检测功能,那么关闭此功能
· 未启用网桥内端口检测功能
请继续执行以下步骤。
(2) WAF所连接的交换机端口被禁用。
如果交换机端口显示为“Administratively Down”,则需要手工开启交换机端口。如果交换机端口显示为“UP”,请继续执行以下步骤。
(3) 两端设备的底层芯片实现的自动协商协议不一致。
如果WAF与交换机相连的接口的模式和速率都是自协商,请在WAF和交换机上配置相同的速率和双工模式。例如配置速率为1000M,协商模式为全双工。
(4) 两端接口配置的速率或协商模式不同。
若两端接口下配置了速率和协商模式,检查两端接口配置的速率和协商模式是否相同,若速率和协商模式不同,请修改为相同。
(5) 网线存在问题。
请更换网线。
(6) 接口卡、接口故障。
· 更换本端设备的接口
更换接口时尽量更换到同类型的其他接口卡的接口,确认故障是否解决。如果故障在其他接口卡不存在,请联系华三技术支持工程师维修存在问题的接口卡。
· 更换交换机的接口
更换端口时尽量更换到同类型的其他板卡的接口,确认故障是否解决,如果故障仍然存在,请联系技术支持工程师维修存在问题的接口卡。
介绍光口物理状态为down时的故障处理流程。
WAF用光口接入到网络中时,WAF接口指示灯不亮。
· 设备部署在透明代理模式下开启了端口检测功能,网桥内任意一个接口down,在指定的时间内如果该接口没有起来,则设备会切换为“物理直通模式”。
· WAF所连接交换机接口被禁用。
· 光模块或光纤不匹配。
· 光模块或光纤异常。
· 接口卡、接口故障。
(1) WAF部署为透明代理模式并且开启了端口检测功能,只要改网桥内一个端口变为down,超过指定的时间后,网桥内的两一个接口也会变为down,且部署模式变为“物理直通模式”。
选择“配置>网桥配置”,查看设备是否在网桥内开启了端口检测功能。
· 已启用网桥内端口检测功能
如果已启用端口检测功能,那么关闭此功能
· 未启用网桥内端口检测功能
请继续执行以下步骤。
(2) WAF所连接的交换机端口被禁用。
如果交换机端口显示为“Administratively Down”,则需要手工开启交换机端口。如果交换机端口显示为“UP”,请继续执行以下步骤。
(3) 光模块或光纤不匹配。
· 检查收发光纤是否连接正确,若收发光纤插反了,请重新连接。请注意插紧光纤,以免接触不好。
· 检查该接口是否支持所用模块类型。华三WAF的光接口需要配置SFP光模块或SFP电模块。
· 检查接口两端光模块是否匹配,华三出厂只配多模模块,例如单模模块不能连接多模模块,FE光模块不能连接GE光模块。
· 检查所用光模块和尾纤是否匹配,华三出厂只配多模尾纤,例如单模光模块不能配多模尾纤(桔黄色),多模光模块不能配单模尾纤(浅黄色)。
(4) 光纤或光模块异常。
使用光功率计分段测试收光功率,找出问题所在的路段。如果收光功率不在光接口的灵敏度范围内,则可能是对端发光功率问题,或者光路问题。
1. 将WAF处的接收光纤从接口上拔出。
2. 将WAF处的接收光纤从接口上拔出。
· 若接收到的光功率正常,说明交换机或者路由器的发送功率和光路以及WAF侧的接收光纤没有问题,问题可能是WAF的光模块接收功能异常,请检查光模块是否插紧。如果光模块安装无问题,请更换一个新的光模块。
¡ 如果更换后接口物理状态“Up”,说明原来的光模块存在问题,故障解决。
¡ 如果更换光模块后接口物理状态仍为“Down”,说明问题不在光模块上,可能是接口、接口卡故障。
· 若接收的光功率不正常,可能是接口、接口卡故障。
3. 在WAF侧的ODF(Optical Distribution Frame)侧测量接收功率。
· 若接收到的光功率正常,说明交换机和路由器的发送功率和光路没有问题,,问题可能是WAF的接口上连接的接收光纤已经损坏,此时请更换光纤。更换完毕后再检查光接口的物理状态。
¡ 如果为Up,故障解决。
¡ 如果状态仍为Down,则可能是接口、接口卡故障。
· 若接收的光功率不正常,可能是光路不正常或交换机和路由器侧的光纤或光模块问题。请继续执行以下步骤。
4. 在交换机和路由器侧的ODF架侧测量接收功率。
· 若接收功率正常,问题可能出在光路上,请检查光路,解决问题。解决光路问题后,在检查接口物理状态。
¡ 如果状态为Up,故障解决。
¡ 如果状态仍为Down,则可能是交换机和路由器的板卡故障。
· 若接收功率不正常,问题可能出在交换机和路由器侧的光纤或光模块上。此时请更换光纤,更换完毕后,检查接口物理状态是否“Up”。
¡ 如果状态为Up,故障解决。
¡ 如果状态仍为Down,请更换光模块。更换完毕后,检查接口物理状态是否“Up”。若状态为“Up”,故障解决。若状态仍为Down,则可能是交换机和路由器的板卡故障。
针对测量的收光功率的不同情况做如下处理:
· 如果接收到的光功率低于指标,可能是由于发送光功率的光接口被灰尘阻挡,请采用无尘棉擦拭。灰尘污染会导致光路上光信号不能很好的耦合甚至光路被阻断,从而导致光功率低、灵敏度低和无光等故障现象。
· 如果接收到的光功率过大,会导致接收端的光模块接受功率过载,即接收光功率远远大于接收灵敏度,误码率严重劣化,Link指示灯不亮。可以在接收光纤上加一个光衰减器。
· 如果接收的光功率非常低,可能是光纤或发送端的光模块损坏,请更换光纤或发送端的光模块。
(5) 接口卡、接口故障
将光模块插入其他同类接口,观察状态是否Up。若更换了几个接口后状态仍然为Down,请联系华三技术支持工程师。
介绍被保护站点访问异常的处理过程。
被保护站点网站无法访问,网页无法打开。
· 物理层因素,检查网线和接口。
· 服务器自身原因。
· 两端接口速率和协商模式不同。
· 网络层TCP会话不同步。
· Switch开启端口安全功能。
· 长短连接问题
首先将WAF切为物理直通后尝试网站是否正常,如仍访问不通,需要告知客户非WAF造成的原因,如访问正常,检查以下因素:
(1) 检查物理层因素,如检查网线是否插好、上下联设备端口是否正常,可以通过WAF前台查看网口是否有error、drop包,以上都排查后再尝试物理直通下是否正常;其次需要检查WAF与交换机端口的速率和双工模式是否一致,如果不一致请在WAF与交换机端口上配置相同的端口速率与双工模式。
(2) 检查数据链路层因素,检查交换机端口是否为error-disable, 如果在WAF开启STP,同时Cisco交换机开启portfast的情况下,交换机会将连WAF的一端口禁用掉,在接口上显示error-disable状态,将WAF的STP关闭就可以,其次检查交换机是否启用端口安全,如果交换机端口启用端口安全功能,则需要关闭该功能。
(3) 检查网络层因素,通过抓包或询问客户的方式查看是否存在路由不对称的情况(使用链路捆绑的环境这个问题较容易发生),比如客户端的syn包从链路1发送,而服务器返回的syn+ack从链路2返回,那么就会造成WAF三次握手不成功,从而导致网站访问不通,解决方法是将WAF放置在单一链路环境下,保证syn和syn+ack在一条链路上通信。
(4) 检查应用层因素,首先使用ping检查服务器是否存活,使用telnet检查80端口是否存活,检查服务器的错误返回,如返回503错误时,查看服务器和WAF是否过载,如WAF过载检查当前的连接数值是否超过设备性能,另外可以尝试调整保护站点的长短连接。
介绍访问保护站点被拦截的故障处理过程。
访问被保护站点的请求被WAF拦截,显示WAF拦截之后的阻断页面,如图8-1所示。
图8-1 WAF拦截阻断页面
(1) 确认客户触发的URL和时间。
(2) 针对该URL和时间段检查WAF的告警日志,找出相对应的告警日志。
(3) 如果该告警日志为触发误报策略,则需要将该策略禁用或设置动作为仅检测。
介绍WAF无告警日志的故障处理过程。
WAF设备上线之后,用户能够正常访问保护站点但尝试攻击之后无告警日志。
(1) 首先开启WAF访问审计功能,查看是否有正常的访问日志。如果有访问日志那表明攻击方式未到达攻击效果并没有触发策略;如果没有访问日志,则需要查看WAF是否工作在透明代理模式下。
(2) 检测保护对象是否配置正确,检查保护站点的IP、端口、保护链路等信息。
(3) 抓包确认是否有trunk信息,,如部署在trunk链路上需要在保护站点上开启VLAN支持,并填上服务器的VLAN号。
介绍报表无法导出的处理方法。
WAF日志无法生成报表导出。
WAF在日志量较多的情况下无法生成报表,建议将时间点缩短,同时检查是否存在大量误报日志,请禁用相关误报日志。
介绍Syslog日志输出乱码时的处理方法。
告警日志发送到Syslog服务器之后,日志出现乱码。
将Syslog通知的编码类型由默认的UTF8改成GBK试试。
介绍WAF告警日志出现HTTP请求出错的处理方法。
在告警日志中出现HTTP请求出错的日志报告。
一般是WAF解析日志出错,需要联系厂商技术支持解决。
介绍WAF告警日志中客户端IP为同一IP的处理方法。
WAF告警日志中查看到的攻击源IP都是同一个。
· 如果部署在防火墙后端,有些防火墙会把源IP转成防火墙IP,这种情况WAF无法识别源IP。
· 如果是部署在负载均衡设备后端,负载均衡会把源IP转成负载均衡自身IP。
(1) 如果防火墙把源IP转换成防火墙IP,这种情况WAF无法识别,可以建议客户将防火墙的地址转换去掉。
(2) 如果是部署在负载均衡设备后端,负载均衡会把源IP转成负载均衡自身IP,这种情况需要打开WAF的X-Forwarded-For源IP识别功能,如果仍无法识别,建议客户在F5上转发时加上X-Forwarded-For字段。
通常攻击有两种提交方式,一种是在请求头中插入攻击,另一种是通过请求内容中插入攻击,WAF默认配置不记录请求内容数据。
选择[配置/事件记录],将保护站点的记录级别改成详细并应用更改,这样就可以查看请求内容数据。
通常防火墙只能对网络层IP地址配置访问控制,WAF可以对应用层IP地址配置访问控制。在金融行业环境中此功能尤其重要,用户访问网银服务器时,先通过SSL网关将流量解密后转发到后端应用服务器,服务器获取到的源网络IP地址通常会转成SSL网关IP,这样就无法识别客户端实际的IP地址。
通过[配置/防护站点配置],将访问控制中的源IP检测的X-Forwarded-For选项勾选,这样在“配置>访问控制”中添加的IP会同时识别网络层和应用层IP。另外,通过“配置>全局配置”中开启源IP解析,这样在告警日志中的客户端IP地址就可以自动解析到应用层IP地址。
在将WAF恢复初厂配置后,管理口IP地址未恢复为192.168.1.100。
在将WAF恢复初厂配置后,WAF的站点配置、策略配置、访问控制、链路配置等配置会被清空,管理口IP、授权许可、告警日志等不会被清空。如需查看管理口IP地址可参阅4.3 管理IP丢失与恢复
WAF支持Bypass吗?
WAF设备内置硬件Bypass功能,当设备断电时,通过物理短路实现硬件Bypass。
软件Bypass支持过载Bypass,通过设备自身监控CPU、内存使用率和流量等信息,当设备运行达到一定阈值会自动切换为软件Bypass状态。
WAF的CPU、平均负载、内存、磁盘使用率在多少范围内是正常的。
CPU、内存使用率保持在80%以下;
CPU负载在10以下;
磁盘使用率保持在80%以下。
WAF统计的Web流量和网络流量不一致。
WAF中的Web统计是WAF防护的Web服务器流量,网络流量为通过WAF的网络混杂流量(可能有其他FTP、MAIL等流量,这部分流量WAF直接底层转发不作处理),正常情况下Web流量小于网络流量。
在SSL环境下部署WAF需要注意的事项。
首先,在环境调研时需要调研现场是否存在SSL应用,也就是通过https进行访问的网站。然后,调研证书是否在服务器上还是在SSL网关上,一般网银的SSL证书在SSL网关上,所以只需将WAF部署在SSL网关后端,防护明文流量即可,碰到证书在服务器上的情况,需要导入服务器的公钥和密钥,建议在服务器上导证书。
WAF管理平台无法正常登陆。
首先使用网络诊断工具ping检查WAF是否存活,再使用telnet waf_ip 443检查应用是否正常。如仍访问不了,请尝试更换浏览器,然后将报错日志发送给厂商项目经理。