上网行为管理器实施注意事项

上网行为管理器理论上仅拦截内网终端向外访问的行为。但是以下案例包括之前的实施经验说明，服务器和内网的设备IP必须加入上网行为管理器的白名单，而不是免认证；免认证实际上也是一种形式的认证.

故障现象1 外网访问内网一台映射出去的服务器，只有进入的流量，没有回复的流量。从防火墙测试服务器能PING通，端口也开放，说明服务器，外网，防火墙都没有问题，问题出在中间链路设备上面，中间链路仅有一台上网行为管理设备。

检查上网行为管理器发现，认证方式均为不需要认证，并且没有做任何访问控制策略，也没有拦截记录。


但是发现这个服务器192.168.7.101 反复上下线，导致反复在上网行为管理器上面注册，这种情况有可能是NBM对客户端的识别有问题。也有可能是内网IP地址冲突。

将该IP 加入IP白名单，针对该IP上网行为管理器不做任何操作。故障现象解除。

案例2：发现深信服的AC 因为全局开启了VPN拦截，导致内部部署的深信服零信任设备外界客户端无法访问的情况，由于甲方不愿意配合，通过抓包发现设备回复客户端的IP ID中发现了是深信服的AC发出的RST报文，从而确认是AC拦截造成。最后在AC上面增加零信任网关IP白名单故障解除。

综上：部署上网行为管理器的时候，需要调研客户内网设备IP 服务器IP 并加入到上网行为管理器的白名单中（而不是免认证）以规避各种可能出现的各种问题。