【ACE适用于软件版本是3.4.00/4.0.2】报表类异常,即在线IP数超过实际最大IP数

发布时间: 2013-11-26 点击量:552 打印 字体:

1、故障现象

在APM或ACE Report上查看到实时的在线IP数超过客户内网实际内网最大的IP数,从在线IP报表上查看,出现突增的情况;

2、故障可能原因

内网存在变源IP攻击或外网扫描内网,导致ACE的在线IP统计出现误差

3.故障处理流程

 

4.处理步骤

步骤1:检查应用网段报表是否存在异常

  • 检查理由

在线IP超过内网实际用户最大IP数,很大可能是内网存在变源IP的攻击;所以我们可以通过查看应用网段报表,查看是否存在非内网网段,如果存在大量的非内网网段,则说明内网的确存在变源攻击

  • 检查步骤

通过登录APM或ACE Report 应用报表 > 应用网段报表,如查看到大量非内网用户在线网段,则可确认内网存在变源IP攻击的情况;

  • 解决方法

通过在策略中心的全局策略的配置进行防护,保证在线IP报表统计的正确性,同时也减少ACE系统资源的消耗。

配置思路:仅放通内网可信任的用户网段,其余全部阻止;

配置举例如下:

定义内网可信任的网段:学生网段和教师网段,并组织地址组

添加全局策略:第一条:源地址:school,动作:trust;第二条:源地址any,动作untrust;

注意:全局策略是至上而下匹配,所以放行内网网段的策略必须在上,否则将导致全网断网

 

步骤2:收集信息后,请联系4008111000协助处理

如果经以上2个步骤排查后故障无法解决,请将根据步骤1检查配置信息打包压缩,同时准备好ACE与APM/ACE Report的远程方式后联系4008-111000协助处理。

  • 需要收集的信息

1、APM/ACE Report应用网段报表;

2、ACE的全局策略(web配置界面截图);

 

00 分享 纠错
相关条目