# 【E21现场】IGW站点security policy block https://www.opride.com 失败 | ID | Creation Date | Assignee | Status | |----|----------------|----------|--------| | OMPUB-469 | 2022-04-27T22:09:56.000+0800 | 刘学利 | 已关闭 | --- 业主自己尝试配置security policy  block 网站:[https://www.opride.com/|https://www.target.com/] , 策略配置如下: client ip=196.188.136.150(办公室公网ip) application:ssl  sni-FQDN:*opride.com Sub Action:reset Effective Devices:所有IGW站点   策略测试效果: 浏览器一直访问[https://www.opride.com/ |https://www.target.com/],最初无法访问成功,大概一分钟左右网站可以正常访问。 并将以下内容上传到附件中: 策略配置内容截图 该策略安全策略命中日志 会话日志里搜索sni =%opride.com% client ip=196.188.136.150导出session records 处理计算板上log日志   通过查看策略命中日志和会话日志,sled ip =10.225.11.2,且在会话日志搜索ssl_sni like '%opride.com%' AND common_client_ip='196.188.136.150',搜索结果:Server IP =  35.209.13.87 所以在10.225.11.2上执行以下捕包语句: sudo /opt/tsg/framework/bin/tcpdump_mesa -P 9345 -g -n -nn host 196.188.136.150 and host 35.209.13.87 and tcp port 443 -s0 -w opride.com-196.188.136.150-35.209.13.87.443.pcap -v   在测试机笔记本、处理机计算板上落的包均已上传到群里。     202204028: 今天业主又反馈以下三个网站存在IGW站点security policy deny失败情况:   [www.twitter.com|http://www.twitter.com/]   ethiotube.net    britannica.com 现场进行复测,deny失败,现象和opride.com一样,所以直接问题补充到这里   2022-05-03 : 今天业主又对34个网站进行deny 配置,反馈几乎极个别网站deny成功,多数网站IGW站点security policy 存在deny失败情况, 现在我们进行复测,以下34个网站deny 成功和失败情况: *reuters.com 穿 *reutersmedia.net 穿 *france24.com  穿 *washngtonpost.com 穿 *washpost.io *openx.net *nytimes.com 穿 *chartbeat.net *nyt.com *abcnews.go.com 穿 *abcnews.com  *abcotvs.net 穿 *disqus.com *watchabc.go.com *omtrdc.net 穿 *akamaihd.net *theabcdn.com *bloomberg.com 穿 *dailymail.co.uk 穿 $www.4imn.com 穿 *github.com 穿 *.githubassets.com *.githubusercontent.com *stackoverflow.co *stackoverflow.com *i.stack.imgur.com *stackoverflow.blog 穿 *stackoverflowsolutions.com 穿 *nih.gov 穿 *yegara.com 穿 *researchgate.net 穿 *researchgate-d.openx.net *sciencedirect.com 穿 *sdfestaticassets-eu-west-1.sciencedirectassets.com    **dongxiaoyan** commented on *2022-04-28T14:27:05.077+0800*: 信息港集成测试环境复测: windows、ios、android、mac:firefox、chrome ios、mac:safari 使用以上系统、浏览器等1分钟后,2分钟后均都无法打开网页,未复现bug中现象。捕包rst包及时正常返回。 针对后面三个网址复测www.twitter.com、ethiotube.net、britannica.com cl、t9k-test:firefox、chrome,www.twitter.com、ethiotube.net打不开 www.britannica.com有quic,需要deny-quic协议配合阻断 --- **liuju** commented on *2022-04-29T15:56:19.867+0800*: 嗯 现场一直下着办公室ip的quic deny策略。 --- **liuxueli** commented on *2022-06-06T15:44:57.423+0800*: * 与 OMPUB-466 属于同一个原因,具体原因可参见 OMPUB-466 ,建议关闭本BUG。 --- ## Attachments **27632/securityEvents.xlsx** --- **27631/securityEvents-target.xlsx** --- **27630/sessionRecords+-target-clientip.xlsx** --- **27629/微信图片_20220427171213.png** --- **27635/微信图片_20220427171213-1.png** --- **27634/微信图片_20220427171224.png** --- **27633/微信图片_20220427171236.png** --- **27697/微信图片_20220429105728.png** ---