H3C防火墙安全策略故障排查思路
空配情况谁和谁都不通,全部禁止,接口加了域并配置了策略之后才能访问。并不像华为设备的高区域级别到低区域级别能通,反之不可,华三的设备不管区域的优先级是多少,除非通过策略,默认谁和谁都不通。
看,华三的防火墙添加新区域的时候并没有让填写区域,这和华为的不一样。
主要思路有两步:
-
第一步:报文是否到达防火墙上?
-
第二步:报文是否被防火墙给阻断了?
如何判断报文是否到达防火墙?
- 查看防火墙是否有会话表项
dis sesseion table ipv4 source-ip IP destination-ip IP verbose
如果命中了会话表项,就会继续转发;如果没命中任何会话表项,就转交给策略规则进行匹配,如果策略允许,就创建一表新的表项,如果策略不允许,就扔掉报文。注意,会话有老化时间。
换句话,如果有会话表项,说明报文之前“路过”过,并且通过了防火墙安全策略的检查。
如果没有会话表项,就要进行下一步的排查。通过debug命令查看报文是否上到防火墙?
debug ip packet acl 3000 #因为bug信息很多,加上acl会更有针对性。
没有看到bug信息有两种可能,报文没有过来,另一个是被策略给干了,有debug信息说明报文到达了防火墙,如果没有bug信息,说明报文没有上到防火墙。
web里面有抓包功能,可以试一试,建议匹配acl
如果通过debug和抓包判断了包到达了防火墙上,接下来就要判断安全策略是否阻断了防火墙。如果判断是安全策略干的呢?
debu secrr-policy #最好也写acl。