3.9 KiB
【E21现场】IGW站点security policy block https://www.opride.com 失败
| ID | Creation Date | Assignee | Status |
|---|---|---|---|
| OMPUB-469 | 2022-04-27T22:09:56.000+0800 | 刘学利 | 已关闭 |
业主自己尝试配置security policy block 网站:[https://www.opride.com/|https://www.target.com/] ,
策略配置如下:
client ip=196.188.136.150(办公室公网ip)
application:ssl
sni-FQDN:*opride.com
Sub Action:reset
Effective Devices:所有IGW站点
策略测试效果:
浏览器一直访问[https://www.opride.com/ |https://www.target.com/],最初无法访问成功,大概一分钟左右网站可以正常访问。
并将以下内容上传到附件中:
策略配置内容截图
该策略安全策略命中日志
会话日志里搜索sni =%opride.com% client ip=196.188.136.150导出session records
处理计算板上log日志
通过查看策略命中日志和会话日志,sled ip =10.225.11.2,且在会话日志搜索ssl_sni like '%opride.com%' AND common_client_ip='196.188.136.150',搜索结果:Server IP = 35.209.13.87 所以在10.225.11.2上执行以下捕包语句:
sudo /opt/tsg/framework/bin/tcpdump_mesa -P 9345 -g -n -nn host 196.188.136.150 and host 35.209.13.87 and tcp port 443 -s0 -w opride.com-196.188.136.150-35.209.13.87.443.pcap -v
在测试机笔记本、处理机计算板上落的包均已上传到群里。
202204028:
今天业主又反馈以下三个网站存在IGW站点security policy deny失败情况:
[www.twitter.com|http://www.twitter.com/]
ethiotube.net
britannica.com
现场进行复测,deny失败,现象和opride.com一样,所以直接问题补充到这里
2022-05-03 :
今天业主又对34个网站进行deny 配置,反馈几乎极个别网站deny成功,多数网站IGW站点security policy 存在deny失败情况,
现在我们进行复测,以下34个网站deny 成功和失败情况:
*reuters.com 穿 *reutersmedia.net 穿 *france24.com 穿 *washngtonpost.com 穿 *washpost.io *openx.net *nytimes.com 穿 *chartbeat.net *nyt.com *abcnews.go.com 穿 *abcnews.com *abcotvs.net 穿 *disqus.com *watchabc.go.com *omtrdc.net 穿 *akamaihd.net *theabcdn.com *bloomberg.com 穿 *dailymail.co.uk 穿 $www.4imn.com 穿 *github.com 穿 *.githubassets.com *.githubusercontent.com *stackoverflow.co *stackoverflow.com *i.stack.imgur.com *stackoverflow.blog 穿 *stackoverflowsolutions.com 穿 *nih.gov 穿 *yegara.com 穿 *researchgate.net 穿 *researchgate-d.openx.net *sciencedirect.com 穿 *sdfestaticassets-eu-west-1.sciencedirectassets.com
dongxiaoyan commented on 2022-04-28T14:27:05.077+0800:
信息港集成测试环境复测: windows、ios、android、mac:firefox、chrome ios、mac:safari 使用以上系统、浏览器等1分钟后,2分钟后均都无法打开网页,未复现bug中现象。捕包rst包及时正常返回。
针对后面三个网址复测www.twitter.com、ethiotube.net、britannica.com cl、t9k-test:firefox、chrome,www.twitter.com、ethiotube.net打不开 www.britannica.com有quic,需要deny-quic协议配合阻断
liuju commented on 2022-04-29T15:56:19.867+0800:
嗯 现场一直下着办公室ip的quic deny策略。
liuxueli commented on 2022-06-06T15:44:57.423+0800:
- 与 OMPUB-466 属于同一个原因,具体原因可参见 OMPUB-466 ,建议关闭本BUG。
Attachments
27632/securityEvents.xlsx
27631/securityEvents-target.xlsx
27630/sessionRecords+-target-clientip.xlsx
27629/微信图片_20220427171213.png
27635/微信图片_20220427171213-1.png
27634/微信图片_20220427171224.png
27633/微信图片_20220427171236.png
27697/微信图片_20220429105728.png