Frequently Asked Questions (FAQ) tập hợp những vấn đề thường gặp trên D60 và D100 đối với firmware version 6.11- December 2009. Mục đích giúp người sử dụng thuận tiện trong việc troubleshoot và fix lỗi khi có vấn đề xảy ra.
VIII/ Phần AAA (Authentication, Authorization, Audit)
I/ Mục System:
1/ Khi được hỏi để xác nhận có reboot hệ thống qua giao diện dòng lệnh DOS hay không, tại sao tôi không thể thực thi bất kì lệnh nào, hoặc logout khỏi hệ thống?
Trong giao diện dòng lệnh, bạn buộc phải chọn “yes” hoặc “no” khi được hỏi có reboot không. Nếu không thì bạn sẽ không thể thực thi bất kỳ lệnh nào hoặc logout khỏi hệ thống.
2/ Tôi phải sử dụng port nào để truy cập và quản lý SifoWorks DU?
Port dùng để quản lý SifoWorks DU có thể được cấu hình trong admin profile. PC của bạn phải được đặt trong cùng subnet kết nối trực tiếp đến port của SifoWorks DU được chỉ định trong admin profile. Hệ thống không hỗ trợ việc login login thông qua một PC được kết nối đến một port khác.
3/ Khi login SifoWorks qua trình duyệt web từ cùng một địa chỉ IP nhưng khác user (khác quyền truy cập), tại sao trình duyệt hiển thị user name của lần login gần nhất?
Điều này là do cookie của trình duyệt. Vui lòng đợi cho đến khi cookie hết hạn hoặc bạn có thể xóa cookie đã được lưu trước khi login vào hệ thống.
4/ Tôi có thể định nghĩa một account admin sử dụng những ký tự số?
Hệ thống hỗ trợ việc sử dụng những ký tự vừa chữ vừa số khi đặt tên cho admin. Tuy nhiên, tên của admin đó không được bao gồm chỉ những ký tự số.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
II/ Phần Network
1/ Khi bảng ARP bị đầy, tại sao không chuyển đổi một số ARP entry từ dynamic ARP sang static ARP?
Điều này có thể xuất hiện nếu bảng ARP không cập nhật kịp khi số lượng ARP entry mới được học tăng nhanh. Để giải quyết, bạn phải bảo đảm rằng hệ thống có đang bị tấn công ARP trước khi thực hiện sự chuyển đổi.
2/ Tại sao hệ thống không thể hiển thị tên máy của những máy mà chúng đã nhận được địa chỉ IP từ DHCP server?
Có 2 khả năng có thể xảy ra:
- Tên của máy tính được cấp IP được cấu hình bằng tiếng Việt
- Tên của máy tính đó vượt quá giới hạn cho phép bởi hệ thống
Trong bất kì trường hợp nào ở trên, hệ thống sẽ không thể hiển thị host name sau khi DU60/100 nhận được địa chỉ IP.
3/ Lựa chọn “Allow PING” của network interface làm việc như thế nào?
Tùy chọn này là một bắt buộc bảo mật ở mức interface. Mục đích của nó là để ngăn chặn tấn công bằng cách flooding có chủ đích các packet (ví dụ PING flood) qua interface này. Vì vậy, bất kì những gói tin như vậy có thể bị hạn chế từ bên trong (internal), và bị ngăn chặn bên ngoài (external).
Tùy chọn này có thể được sử dụng để:
- Điều khiển các gói Ping được gửi đến subnet kết nối trực tiếp đến interface.
- Điều khiển việc có hay không những user kết nối đến interface này có thể Ping những địa chỉ từ những subnet kết nối đến những interface của thiết bị khác.
4/ Hệ thống không import những cấu hình “Zone” có tham số “Description”. Vì sao?
Hệ thống mà bạn đang import vào có thể đã tồn tại rồi những zone cùng tên nhưng không có Description. Hãy xóa những zone này đi trước khi thực thi việc import.
5/ Những thành viên của bridge interface (bao gồm sub-interface và physical interface) không thể Ping lẫn nhau nếu gói PING lớn hơn MTU của những interface đó. Vì sao?
Trong chế độ bridge, nếu MTU của 2 sub-interface đã được thay đổi khác giá trị mặc định là 1500, những interface đó sẽ không thể Ping lẫn nhau bởi vì:
- Kích cỡ gói tin lớn hơn MTU;
- phân mảnh các gói tin không được cho phép;
- Hệ thống không thể xác định MTU thực sự sử dụng ICMP dưới chế độ transparent.
Vì vậy, chúng tôi đề nghị bạn cấu hình đúng MTU mặc định khi cấu hình dung Bridge mode.
6/ Tại sao hệ thống báo log “delete fail” khi xóa một dynamic dòng ARP ?
Dòng ARP mà bạn đang cố gắng xóa đi có thể đã được xóa tự động từ trước đó rồi.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
III/ Phần Route
1/ Tại sao performance sụt giảm khi tìm kiếm bảng policy route nếu có nhiều policy route với cùng địa chỉ nguồn và đích?
Hệ thống truy vấn bảng policy route bằng cách kiểm tra địa chỉ nguồn và đích. Luồng dữ liệu khớp với tất cả policy route trong bảng này với cùng địa chỉ nguồn và đích. Do đó, performance hệ thống khi truy vấn bảng policy route sẽ suy giảm nếu có nhiều policty route với cùng IP nguồn và đích. Chúng tôi đề nghị bạn hạn chế tối đa số lượng policy route với cùng IP nguồn và đích nếu có thể.
2/ Khi một route gateway sử dụng một interface nhận địa chỉ IP động, việc sửa đổi chế độ nhận địa chỉ của interface này hệ thống sẽ không cập nhật cấu hình outgoing device của route tương ứng
Hãy xóa những route tương ứng và re-add chúng vào hệ thống.
3/ Tại sao hệ thống không thể thiết lập những kết nối OSPF neighbor nếu interface được cấu hình với multi-IP?
Điều này chỉ xảy ra khi một interface OSPF được cấu hình với multi-IP. Hãy tránh việc cấu hình hệ thống theo cách này nếu có thể.
4/ Nếu nhiều IP khác nhau kết nối đến cùng một interface vật lý tạo thành một nhóm gateway, tại sao hệ thống không thể phân biệt việc sử dụng băng thông của mỗi địa chỉ IP dưới cùng interface vật lý, gây nên những sai sót trong việc load balancing?
Việc định tuyến multi-gateway chỉ chọn một interface giữa tất cả các segment mạng (chẳng hạn multi-IP, sub-interface,…) được kết nối đến cùng interface vật lý để hoạt động như là một gateway. Hơn nữa, hệ thống thực hiện load balancing sử dụng multi-gateway routes bằng cách định tuyến gói tin dựa vào phần trăm của việc sử dụng bandwidth được gán cho interface vật lý đó. Nghĩa là, mặc dầu hệ thống cân bằng tải traffic theo sự tận dụng bandwidth của toàn bộ interface vật lý, những multi-gateway route thực sự định tuyến gói tin thông qua một trong những interface Layer-3. Vì vậy điều này gây nên việc tính toán không đúng bandwidth.
5/ Session ảnh hướng như thế nào khi trạng thái của bất kỳ một gateway nào trong một nhóm gateway thay đối (Up/Down)?
Khi trạng thái của một gateway trong một nhóm gateway thay đổi (Up/Down), tất cả gói tin session được định tuyến qua gateway này sẽ được gửi đến CPU hệ thống cho việc tái khởi tạo.
6/ Điều gì sẽ xảy ra nếu bandwidth upload và download được cấu hình trong một nhóm multi-gateway khác xa so với khả năng thực sự của link đó?
Nó sẽ ảnh hưởng đến khả năng load balancing của hệ thống. Ví dụ, nếu một gateway (có bandwidth thấp nhất trong nhóm) được cấu hình với bandwidth cao nhất trong nhóm, hệ thống sẽ phân phối nhiều gói tin cho gateway này. Và vì vậy, trong thực tế gateway này không thể xử lý nổi, nhiều gói tin sẽ bị drop.
Chúng tôi đề nghị bạn cấu hình bandwidth upload và download của mỗi gateway trong nhóm gateway theo khả năng thực sự của mỗi gateway.
7/ Trong một nhóm các gateway (muli-gateway), nếu gateway không phải là một PPPoE, tại sao hệ thống không thể phát hiện Link Monitor Server?
Khi gateway trong một nhóm multi-gateway không phải là một PPPoE, hệ thống sẽ chỉ có thể phát hiện remote server nếu một local route tương ứng tồn tại. Hãy thêm route cần thiết chỉ đến Link Monitor Server.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
IV/ Phần Object
Khi click vào icon “Reference” để xem những rule để nó sử dụng object này, ID của những rule đó khác với ID được hiển thị trên rule được liệt kê trên UI. Tại sao?
Danh sách rule quản lý truy cập tách các rule thành group. Vì vậy, danh sách ID được hiển thị trên UI không định nghĩa duy nhất cho từng rule. “Reference” liên kết cho từng object và vì vậy nó hiển thị rule ID được lưu trên giao diện dòng lệnh Shell của hệ thống thay vì danh sách ID được hiển thị trên rule liệt kê trên UI.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
V/ Phần Anti-DoS
1/ Bật tính năng Anti-DoS SYN Cookie, tại sao user không thể login MSN nếu có một rule khóa truy cập port 1863?
Port login mặc định của MSN là 1863. Một cách tổng quát, user có thể login MSN miễn port này được mở. Nếu port bị đóng (block), user cũng có thể login qua HTTP. Nếu chức năng Anti-DoS SYN Cookie được kích hoạt, login HTTP như vậy bị cho là SYN proxy và bị khóa bởi hệ thống. Do đó, user sẽ không thể login MSN. Đơn giản mở port TCP 1863 để cho phép login MSN.
2/ Thông tin Anti-DoS nào được đồng bộ dưới chế độ HA?
Dưới chế độ HA, tất cả cấu hình Anti-DoS được đồng bộ. Tuy nhiên, những thống kê động trong Reporter và Count không được đồng bộ.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
VI/ Phần Firewall
1/ Khi một bridge interface được cấu hình là đích của một route, tại sao những rule ACL và NAT không có tác dụng nếu interface đích được cấu hình trong rule là một interface thành viên của bridge interface?
Khi một gói tin được xử lý bởi module ACL hoặc NAT, nếu đích đến là một sub-interface của một bridge interface, hệ thống chỉ có thể truy vấn bảng định tuyến để xác định bridge interface và những thành viên không phải thuộc về nó.
Thông thường, gói tin vận chuyển trong một bridge một cách tự động. Những yêu cầu việc vận chuyển gói tin mạng có thể được đáp ứng đơn giản cấu hình bridge interface là interface đích của rule ACL hoặc NAT.
2/ Tại sao định tuyến bất đối xứng (asymmetric routing) không được hỗ trợ đối với việc vận chuyển dữ liệu (data forwarding)?
Trong định tuyến bất đối xứng, firewall không thể nhận gói tin dữ liệu cần thiết để thiết lập các phiên làm việc. Cho nên hệ thống không thể tiến hành việc vận chuyển dữ liệu thêm được nữa. Đây là nguyên tắc làm việc của firewall. Cho nên, tránh việc sử dụng một định tuyến bất đối xứng trong mô hình mạng của bạn.
3/ Tại sao user nhận những phản hồi sai sau khi thực hiện ARP request khi DNAT ARP proxy được kích hoạt và interface nguồn và đích IP là “Any”, hậu quả là không thể truyền dữ liệu.
Khi DNAT ARP proxy được kích hoạt, hệ thống so sánh thông tin ARP chỉ dựa vào interface nguồn và IP đích. Nghĩa là, nó không phân biệt dựa vào dịch vụ. Nếu interface nguồn và IP đích là “Any”, điều này sẽ tạo ra một “All-to-all” ARP proxy. Ở đây, hệ thống sẽ phản hồi các ARP request của tất cả user trong mạng nội bộ.
4/ Tôi nên làm gì khi DNAT không có tác dụng cho những ứng dụng quản lý (HTTPS, SSH, Telnet) trên host cục bộ.
Nếu tồn tại những server như vậy trong mạng nội bộ, hãy cấu hình một non-local IP (tức là, một IP có thể truy cập được từ bên ngoài) và kích hoạt ARP proxy trong NAT rule.
5/ Tại sao hệ thống vẫn cho phép các session FTP được thiết lập sau khi kích hoạt IPR FTP block ngay cả khi dữ liệu không thể được truyền?
Chức năng IPR (Intelligent Protocol Recognition) sẽ cho phép một số gói tin dữ liệu FTP đi qua để có một số kiểm tra chi tiết (in-depth check). Do đó, thậm chí khi IPR FTP block được bật lên, một số session FTP vẫn có thể được thiết lập nhưng những gói tin sau sẽ bị chặn.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
VII/ Phần IPSec
Nếu 2 IPsec tunnel của một gateway sử dụng chung một SA phase 1, khi một trong hai tunnel bị kết thúc, thiết bị bên tunnel thứ hai không thể được thông báo để gỡ bỏ SA phase 2 thông qua thông điệp “delete” hoặc DPD. Làm sao giải quyết vấn đề này?
Việc kết thúc bất kỳ tunnel nào sẽ gây nên việc SA cũng bị xóa theo. Do đó, bạn sẽ không thể sử dụng những thông điệp “delete” hoặc DPD để thông báo cho thiết bị kia biết để xóa SA của phase 2.
Hãy khởi động lại tunnel. Chúng tôi kiến nghị bạn tránh việc chia sẻ cùng một SA phase 1.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
VIII/ Phần AAA (Authentication, Authorization, Audit)
Khi các AAA user được yêu cầu chứng thực theo khi truy cập một website, thời gian thực (real-time) tại sao chúng không thể bị re-direct đến một URL được chỉ định trong user profile sau khi chứng thực thành công?
Khi AAA user được hỏi để chứng thực trong khi đang truy cập một URL cụ thể, hệ thống sẽ điều hướng (re-direct) user trở về URL đã truy cập sau khi chứng thực thành công thay vì điều hướng đến URL được chỉ định trong user profile.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
IX/ Phần Anti-Virus
1/ Tất cả session được định tuyến qua module Anti-Virus proxy sẽ bị kết thúc trong khi module Anti-virus bị vô hiệu hóa (disable). Làm sao để tránh việc này?
Hãy tránh việc bật lên (enable) và vô hiệu hóa (disable) module Anti-virus một cách thường xuyên.
2/ Nếu port multiplexing tồn tại trong module Anti-virus, những port gán cho Proxy có thể đụng độ (đụng port 3306 của MySQL). Như vậy session này không thể truyền dữ liệu bình thường được.
Hãy khởi tạo lại session này.
3/ Nếu giá trị mặc định được giữ lại cho một vài tham số trong cấu hình Anti-virus, khi export và import file cấu hình này vào thiết bị khác, những tham số này không bị ghi đè lên thiết bị đó mà giữ nguyên giá trị trước khi import. Tại sao?
Khi export cấu hình Anti-virus, hệ thống sẽ chỉ export giá trị của những tham số đã bị thay đổi. Nghĩa là, những giá trị không phải mặc định. Tất cả những tham số giữ nguyện giá trị mặc định của chúng sẽ không bị thay đổi trong file export. Vì vậy, khi file này được import vào thiết bị khác, hệ thống sẽ chỉ ghi đè những tham số đã được export. Nếu muốn bảo đảm rằng những cấu hình này được nhận dạng bởi thiết bị nguồn, bạn có thể restore cấu hình thiết bị đích về factory trước khi thực hiện việc import.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
X/ Phần IPS
Tại sao việc sửa đổi những custom IPS rule và pre-defined IPS rule không phát huy tác dụng tức thời?
Bạn phải restart module IPS để những thay đổi này phát huy tác dụng.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
XI/ Phần Content Filter
Tại sao những phiên bản chuẩn của FlashXP FTP client không thể thiết lập kết nối đến server nếu FTP multi-threat download bị cấm bởi module Content Filter?
Module Content Filter xóa lệnh REST khi cấm FTP download. Những phiên bản chuẩn của FlashXP client sử dụng lệnh REST khi LIST FTP file sau khi log vào server. Do đó, những client này không thể kết nối đến FTP server.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
XII/ Phần Reporter
Khi module Reporter thu thập dữ liệu dựa vào những interface, tại sao dữ liệu thống kê lại giống nhau ngay cả nếu zone khác nhau được chọn?
Những zone được chọn có thể bao gồm những port vật lý và logic giống nhau. Vì thế, dữ liệu được thu thập bởi module Reporter cho những zone này giống nhau.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
XIII/ Các phần khác.
1/ Nếu ngôn ngữ hiển thị trên UI được chuyển thành tiếng Hoa (Chinese), giao diện lệnh Shell tiếng Trung sẽ không thể xem được.
Hãy đảm bảo rằng terminal software được sử dụng để login vào hệ thống Shell sử dụng ngôn ngữ mã hóa “UTF-8”.
2/ Nếu ISP import một số lượng lớn các file, hệ thống Log sẽ không thể report chính xác vị trí các lỗi import, nên việc xác định những lỗi này rất khó.
ISP kiểm tra định dạng và nội dung của tất cả các file import. Nếu có một số lượng lớn các file, hệ thống Log sẽ không thể ghi nhận vị trí chính xác của các lỗi.
3/ Hệ thống hỗ trợ bao nhiêu static route?
Bạn có thể cấu hình bằng tay số lượng tối đa 2048 static route vào hệ thống. Tuy nhiên, thậm chí khi bảng static route bị đầy, hệ thống vẫn có thể add những route trực tiếp (direct route) (thêm local IP).
4/ Nếu những đối tượng (object) địa chỉ được lồng theo 3 cấp được sử dụng trong các ACL, những rule này sẽ không còn có tác dụng nếu đối tượng được lồng bị chỉnh sửa.
Hãy gỡ bỏ những rule bị ảnh hưởng và thêm lại chúng vào hệ thống sau khi chỉnh sửa những đối tượng được lồng ghép.
5/ Tại sao hệ thống thông báo rằng rule IP tồn tại khi thêm custom IPS rule đầu tiên?
Hệ thống sẽ report rule IP đã tồn tại nếu custom IPS rule ID là 1000001. Tuy nhiên, rule này đã được add vào hệ thống.
6/ Tại sao chứng thực theo real-time không thể được sử dụng khi IPSec user truy cập những dịch vụ HTTP?
Khi các IPsec user truy cập những dịch vụ HTTP, nếu peer protected network là “any”, user sẽ không thể chứng thực qua phương thức real-time authentication.
7/ Khi trạng thái của một AAA user trong một TM group thay đổi thành online, rule của TM group đó không thể hạn chế ngay tức khác truy cập của user này. Vì sao?
Session được khởi tạo thông qua TM không tức khác refresh sau khi user vừa mới chứng thực. Session tiếp tục sử dụng ID cũ của online user, vì vậy TM module không thể giới hạn truy cập của user này.
8/ Chỉnh sửa đối tượng weekly scheudle được sử dụng trong một TM profile không phát huy tác dụng ngay tức khác trên session hiện thời.
Để giải quyết vấn đề này, bạn có thể xóa hoặc re-add rule TM tương ứng, hoặc khởi tạo lại những session bằng cách xóa những session bị ảnh hưởng hoặc đợi cho đến khi session hết hạn.
9/ Module IPS không thể được khởi tạo lại thành công nếu tham số “Content” của một custom IPS được cấu hình bằng tiếng Việt..
Phiên bản hệ thống hiện hành không hỗ trợ những ký tự tiếng Việt trong tham số “Content” của một rule custom IPS. Việc cấu hình trường này bằng tiếng Việt IPS rule không thể phân tích được. Do đó, module này không thể được khởi tạo lại.
Hãy tránh việc sử dụng tiếng Việt để cấu hình trường “Content” của một custom rule.
10/ Tôi có thể xuất file cấu hình khi hệ thống đang thực thi một cập nhật tự động (automatic update) signature database?
Những file cấu hình được export trong khi hệ thống đang thực hiện việc cập nhật signature databse sẽ chứa lỗi. User có thể giảm tần số update tự động signature để giảm tình trạng export khi hệ thống đang update.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Một số vấn đề khác cần biết:
Route
- Những gói tin dữ liệu được khởi tạo cục bộ không thể khớp policy route
- Những nỗ lực add một gateway không tồn tại đối với một gateway group sẽ không thực hiện được nhưng hệ thống sẽ khởi tạo một admin log tương ứng.
Firewall
- security log sẽ không được tạo bởi chức năng TCP window track của một rule ACL.
- Những rule ACL không block những gói tin DHCP-Relay.
- Những thao tác sau sẽ reset giá trị hit-time của NAT rule:
- Chỉnh sửa bất kì NAT rule nào.
- Thêm một NAT rule mới
- Thực thi lệnh “show nat source” command trong Shell
- Thực thi lệnh “show nat destination” trong Shell.
- Giá trị hit-time (xem trong Shell) của một ACL rule sẽ reset khi các rule này bị thay đổi.
- NAT rule sử dụng những đối tượng nhóm địa chỉ được lồng nhau phải được chỉnh sửa hai lần trước khi những thay đổi có tác dụng.
IPSec VPN
- Hệ thống không hỗ trợ định dạng P12 đối với CA certificate và remote certificate.
- Việc xuất một P12 certificate tự thộng làm thay đổi phần mở rộng file thành CER.
Anti-Virus
- Anti-virus black/white list không thể nhận dạng những file bị nén.
- Anti-virus không thể report những lỗi khi thực thi kiểm tra lỗi trên nội dung của file import.
- User không thể xóa bằng tay quarantine log và những file được khởi tạo bởi Anti-virus module.
IPS
Việc chỉnh sửa những rule custom IPS sẽ khởi tạo một admin log. Tuy nhiên, log này chỉ hiển thị log ID, Name và Status. Thông tin Content và Network sẽ không được hiển thị.
Log and Reporter
- Khi thu thập dữ liệu thống kê dựa vào giao thức, module Reporter chỉ thu thập dữ liệu của đối tượng giao thức đầu tiên trong danh sách nếu sự trùng nhau của giao thức này tồn tại nhưng sau đó bị down trong danh sách này (chẳng hạn một giao thức FTP và nhóm dịch vụ khác bao gồm một giao thức FTP)
- Khi thu thập dữ liệu session dựa vào dịch vụ, module Reporter chỉ có thể thu thập thống kê của những session được khởi tạo sau khi chỉnh sửa cấu hình report filter. Dữ liệu thống kê của những session được thiết lập trước khi chỉnh sửa sẽ không được thu thập.
- Hệ thống khởi tạo những admin log không đúng cho việc quản lý những rule TM group bởi admin.
- Việc gửi những file log thông qua SMS sẽ hiển thị không chính xác nếu UI hiển thị bằng ngôn ngữ Simplified Chinese hoặc Traditional Chinese.
Lên đầu trang
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Các vấn đề khác:
- Hệ thống chỉ có thể khởi tạo log theo tiếng Anh khi lỗi xuất hiện trong khi import một file cấu hình.
- Application Blocking không thể block auto-login đối với Skype nhưng hệ thống có thể giới hạn việc sử dụng nó sau khi login.
- Khi hệ thống reboot, URL được cấu hình trước đó kiểu FTP filtering trong module Content Filter sẽ không còn tác dụng.
- Chức năng IPR có thể block việc sử dụng UltraSurf nhưng sẽ không khởi tạo bất kỳ security log nào.
- Đối với những tấn công được phân loại kiểu “Other Attack” bởi module Anti-DoS, hệ thống sẽ không khởi tạo security log nếu quãng thời gian của những tấn công này ngắn.