一、事件背景

2025年8月29日，公司网络环境中出现一起突发性网络故障，涉及到多个办公点位。该事件造成了全员无法正常访问外网，影响了业务的正常开展。经过详细排查，最终确认是安全策略配置问题引起的。

二、故障现象

五个办公点位的用户反馈**外网无法访问**。

内网主机 192.168.1.0/24 段可以 Ping 通默认网关 192.168.1.1。

但 192.168.2.0/24 段主机无法 Ping 通除 192.168.1.1 外的任何其他 IP。

故障范围广，几乎公司（办公楼/工厂）全网受影响。

三、排查思路（基于 OSI 七层模型）

1. 物理层（第1层）

检查交换机、路由器、网线等物理连线，无异常。

2. 数据链路层（第2层）

核查交换机端口状态与 VLAN 配置，未发现异常。

3. 网络层（第3层）

测试内网 IP 与网关连通性，确认路由器 192.168.1.1 可达。

排查路由表，确认路由器三层转发正常。

4. 传输层（第4层）

TCP/UDP 端口测试发现，部分连接被异常阻断。

5. 会话层及以上（第5~7层）

进一步检查防火墙及安全网关策略，怀疑是上层策略导致。

四、故障原因

经过比对路由NAT策略，防火墙ACL策略、绿盾终端管理网络相关策略发现：

- 近期在 绿盾终端管理中新增了一条网络限制策略，禁止 迅雷网盘客户端的端口连接外网。

- 由于策略配置错误，屏蔽范围过大，导致不仅限制了迅雷流量，还误伤了正常业务流量。

- 结果导致：

- 外网访问全面中断

- 部分内网互通受阻

五、解决过程

1. 登陆绿盾管理后台，逐一核查近期新增的安全策略。

2. 确认是 迅雷网盘客户端禁止联网策略 导致异常。

3. 删除该策略并恢复默认网络访问策略。

4. 测试确认：

- 内网通信恢复正常

- 外网访问恢复正常

六、经验总结

1. 策略调整要谨慎

在生产环境中新增或修改策略前，必须进行充分测试，避免因配置错误导致大范围业务中断。

2. 分步骤排查

使用 OSI 七层模型 分层排查思路，从物理层逐步上升，可以快速定位问题所在。

3. 日志与变更追踪

网络故障排查中，安全设备的**策略变更记录与日志**至关重要，可以帮助快速定位原因。

4. 建立变更流程

建议后续建立标准化的变更审批与回滚机制，避免类似问题再次发生。

✅ 最终结果：删除错误策略后，网络恢复正常，业务重新上线。