发布时间: 2015-09-24 | 浏览次数: 718 | 下载次数: 0 | 作者: SU1001736097 | 文档编号: EKB1000086911
USG6370设备做本地认证,未认证前客户不能打开网页,但是客户还是能够正常登陆qq,不符合客户的需求
1.查看客户配置信息,配置了强制认证,配置没发现问题
2.远程测试发现客户电脑打开网页时会弹出认证的页面,而登陆qq时没有弹出认证界面,直接登陆就可以成功。查看会话信息如下:
https VPN:public --> public ID: a58f3fd481dd0184d555b8a279
Zone: trust--> untrust TTL: 00:15:00 Left: 00:10:51
Output-interface: GigabitEthernet1/0/9 NextHop: 61.139.14.105 MAC: 4c-09-b4-fc-05-d0
<--packets:7 bytes:639 -->packets:3 bytes:144
192.168.60.252:49994[61.139.14.108:2231]-->183.60.18.193:443
https VPN:public --> public ID: a58f3fe4e82901955b55b8a217
Zone: trust--> untrust TTL: 00:15:00 Left: 00:09:14
Output-interface: GigabitEthernet1/0/9 NextHop: 61.139.14.105 MAC: 4c-09-b4-fc-05-d0
<--packets:5 bytes:606 -->packets:3 bytes:144
192.168.60.252:49953[61.139.14.108:2111]-->23.44.167.91:443
而一般的网页是http的数据流,qq的会话却是https的,问题会不会在这儿呢。查看防火墙portal模板说明:缺省情况下,NGFW将目的端口为80的HTTP业务请求重定向至Portal认证页面,对目的端口为443的HTTPS业务请求不进行重定向,即不进行认证即可访问HTTPS业务
配置对HTTPS业务请求直接阻断,问题解决
<sysname> system-view
[sysname] user-manage portal-template
[sysname-portal-template] https disable action block