USG5120配置应用控制功能后内部用户上网不能打开新浪新闻二级网页

发布时间:  2015-04-25 浏览次数:  185 下载次数:  0
问题描述
客户使用一台USG5120作为互联网出口网关,局域网用户在上网的时候需要进行严格的访问控制。客户在配置了应用控制后发现内部的电脑在上网的时候不能访问新浪网页的二级网页,并且提示找不到该网页。在尝试多次测试后发现访问其他网页均正常,只有访问新浪网页的时候才不能访问其二级网页。
处理过程

1. 在了解了客户的应用环境后,首先让客户在域间策略中去掉应用控制功能测试,发现测试正常,可以打开新浪的二级网页;

2. 在进行了上一步定位后确认此故障是由于域间应用控制所导致,再次通过WEB检查配置也没有发现异常;

3. 在USG5120上抓取访问新浪二级网页的会话,结果显示如下:
  59650  http  [SinaNews]  VPN:public --> public
  Zone: trust--> untrust  PolicyID: 10  TTL: 00:02:00  Left: 00:01:52
  Output-interface: GigabitEthernet0/0/0  NextHop: XX.XX.XX.XX  MAC: 00-46-4b-5b-4a-87
  <--packets:1 bytes:52   -->packets:3 bytes:1101
  10.63.229.17:64999[XX.XX.XX.XX:2903]-->202.108.33.60:80(Block)  //敏感信息已经用xx替代

  注意以上的标红部分,发现匹配到新浪新闻时有一些内容是被block掉的。

4. 找到应用控制的WEB访问中的子项sinanews,发现确实没有勾选此项,然后选择打勾此项;

5. 清理会话后再次测试发现访问新浪新闻二级网页正常。

根因
由于在做应用控制时遗漏了一些子选项导致在访问这些项目时被block阻断了,修改应用控制后即可恢复正常。
解决方案

1. 首先确认是否为应用控制引起的问题;

2. 可以通过查看会话来发现访问中的异常现象;

3. 注意在配置应用控制的时候不要遗漏了相关的了选项。

END