USG6370设备做本地认证,未认证前能够访问qq

发布时间:  2015-09-24 浏览次数:  233 下载次数:  0
问题描述

USG6370设备做本地认证,未认证前客户不能打开网页,但是客户还是能够正常登陆qq,不符合客户的需求

 

 

处理过程

1.查看客户配置信息,配置了强制认证,配置没发现问题

2.远程测试发现客户电脑打开网页时会弹出认证的页面,而登陆qq时没有弹出认证界面,直接登陆就可以成功。查看会话信息如下:

   https  VPN:public --> public  ID: a58f3fd481dd0184d555b8a279
   Zone: trust--> untrust  TTL: 00:15:00  Left: 00:10:51 
   Output-interface: GigabitEthernet1/0/9  NextHop: 61.139.14.105  MAC: 4c-09-b4-fc-05-d0
   <--packets:7 bytes:639   -->packets:3 bytes:144
   192.168.60.252:49994[61.139.14.108:2231]-->183.60.18.193:443

   https  VPN:public --> public  ID: a58f3fe4e82901955b55b8a217
   Zone: trust--> untrust  TTL: 00:15:00  Left: 00:09:14 
   Output-interface: GigabitEthernet1/0/9  NextHop: 61.139.14.105  MAC: 4c-09-b4-fc-05-d0
   <--packets:5 bytes:606   -->packets:3 bytes:144
   192.168.60.252:49953[61.139.14.108:2111]-->23.44.167.91:443

而一般的网页是http的数据流,qq的会话却是https的,问题会不会在这儿呢。查看防火墙portal模板说明:缺省情况下,NGFW将目的端口为80的HTTP业务请求重定向至Portal认证页面,对目的端口为443的HTTPS业务请求不进行重定向,即不进行认证即可访问HTTPS业务

配置对HTTPS业务请求直接阻断,问题解决

<sysname> system-view

[sysname] user-manage portal-template

[sysname-portal-template] https disable action block

根因
QQ登录时,首先尝试使用HTTP协议登录,报文被阻断后又尝试使用HTTPS协议登录,而缺省情况下,NGFW将目的端口为80的HTTP业务请求重定向至Portal认证页面,对目的端口为443的HTTPS业务请求不进行重定向,即不进行认证即可访问HTTPS业务导致qq能直接登录成功。

解决方案
现网通过修改https disable时的动作解决,由默认配置https disable action bypass 修改为https disable action block

END