空配情況誰和誰都不通,全部禁止,介面加了域並配置了策略之後才能訪問。並不像華為裝置的高區域級別到低區域級別能通,反之不可,華三的裝置不管區域的優先順序是多少,除非通過策略,預設誰和誰都不通。看,華三的防火牆新增新區域的時候並沒有讓填寫區域,這和華為的不一樣。
主要思路有兩步:
如何判斷報文是否到達防火牆?
如果命中了會話表項,就會繼續**;如果沒命中任何會話表項,就轉交給策略規則進行匹配,如果策略允許,就建立一表新的表項,如果策略不允許,就扔掉報文。注意,會話有老化時間。dis sesseion table ipv4 source-ip ip destination-ip ip verbose換句話,如果有會話表項,說明報文之前「路過」過,並且通過了防火牆安全策略的檢查。
如果沒有會話表項,就要進行下一步的排查。通過debug命令檢視報文是否上到防火牆?
沒有看到bug資訊有兩種可能,報文沒有過來,另乙個是被策略給幹了,有debug資訊說明報文到達了防火牆,如果沒有bug資訊,說明報文沒有上到防火牆。debug ip packet acl 3000 #因為bug資訊很多,加上acl會更有針對性。web裡面有抓包功能,可以試一試,建議匹配acl如果通過debug和抓包判斷了包到達了防火牆上,接下來就要判斷安全策略是否阻斷了防火牆。如果判斷是安全策略幹的呢?debu secrr-policy #最好也寫acl。H3C防火牆 安全域
一.基本概念 安全域 是乙個邏輯概念,用於管理安全防護裝置上的安全需求相 同的多個介面,便於實現安全控制策略的統一管理。預設安全域 當首次建立安全策略或域間策略時,系統會自動建立 以下安全域 local trust dmz,management和untrust。預設安全域不能被刪掉。dmz 指介於嚴...
H3C防火牆 域間策略
一.域間策略概述 如圖1 1所示,域間策略是一種基於安全域實現對報文流的檢查,並根 據檢查結果對報文實行相應動作的域間策略。乙個安全域中,可以包 含多個成員。例如,可以將公司安全防護裝置上連線到內網的介面作 為成員加入安全域 trust,連線 internet 的介面作為成員加入安全域 untrus...
華為防火牆安全策略配置
華為防火牆安全策略配置 一 配置要求及拓撲 要求 1 trust區域使用者可以訪問untust區域與dmz區域使用者 2 untrust區域使用者只能訪問dmz區域icmp與telnet流量 3 dmz區域使用者即不能訪問untrust區域和tust區域 4 區域trust內只允許源位址為192.1...