华为waf防火墙：被保护站点访问异常的处理过程

华为waf防火墙：被保护站点访问异常的处理过程
现象描述
被保护站点网站无法访问，网页无法打开。
可能原因
    物理层因素，检查网线和接口。
    交换机端口流量满负荷。
    服务器自身原因。
    两端接口速率和协商模式不同。
    网络层TCP会话不同步。
    Switch开启端口安全功能。
    长短连接问题。

处理步骤
（1）首先将WAF切为物理直通后尝试网站是否正常，如仍访问不通，需要告知客户非WAF造成的原因，如访问正常，检查以下因素：  （2）检查物理层因素，如检查网线是否插好、上下联设备端口是否正常，可以通过WAF前台查看网口是否有error、drop包，以上都排查后再尝试物理直通下是否正常；其次需要检查WAF与交换机端口的速率和双工模式是否一致，如果不一致请在WAF与交换机端口上配置相同的端口速率与双工模式。
（3）检查数据链路层因素，检查交换机端口是否为error-disable,如果在WAF开启STP，同时Cisco交换机开启portfast的情况下，交换机会将连WAF的一端口禁用掉，在接口上显示error-disable状态，将WAF的STP关闭就可以，其次检查交换机是否启用端口安全，如果交换机端口启用端口安全功能，则需要关闭该功能。
（4）检查网络层因素，通过抓包或询问客户的方式查看是否存在路由不对称的情况（使用链路捆绑的环境这个问题较容易发生），比如客户端的syn包从链路1发送，而服务器返回的syn+ack从链路2返回，那么就会造成WAF三次握手不成功，从而导致网站访问不通，解决方法是将WAF放置在单一链路环境下，保证syn和syn+ack在一条链路上通信。
（5）检查应用层因素，首先使用ping检查服务器是否存活，使用telnet检查80端口是否存活，检查服务器的错误返回，如返回503错误时，查看服务器和WAF是否过载，如WAF过载检查当前的连接数值是否超过设备性能，另外可以尝试调整保护站点的长短连接。

华为web应用防火墙、华为waf（列表、list、全）华为waflist、华为fwlist

http://www.zh-cjh.com/wenzhangguilei/1251.html

文章归类、所有文章列表、LISTLIST

http://www.zh-cjh.com/wangzhangonggao/2195.html