防火墙 F100-C-G3 安全策略配置问题
- 0关注
- 0收藏,37浏览
1. 检查现有trust-untrust策略的源/目的地址、服务是否匹配实际流量:
display security-policy name [策略名] 或 display security-policy all
2. 确认vlan1的IP段是否被包含在策略源地址中(例如源地址是否为192.168.1.0/24):
若策略源地址非any或未覆盖192.168.1.0/24,需调整源地址为192.168.1.0/24或any。
3. 检查策略服务是否限制了必要协议(如ICMP、HTTP等):
若服务为特定端口(如仅80),而实际流量用其他协议(如ICMP),需将服务改为any或添加对应服务。
4. 检查策略是否启用:display security-policy all查看状态是否为active。
5. 抓包验证流量是否到达防火墙并匹配策略:
packet-capture interface g4 vlan 1 源地址192.168.1.0/24 目的地址any
同时查看策略命中数:display security-policy hitcount [策略名],若未命中则策略不匹配。
关键原因:现有trust-untrust策略的源地址、目的地址或服务未覆盖实际业务流量,导致流量被默认拒绝;开放any策略时所有流量匹配通过,故网络通。
问题根因分析 + 分步排查(二层域间 Trust→Untrust,全 any 通、细分策略不通)
组网梳理
防火墙二层模式:G4=Trust 域、G5=Untrust 域,同 VLAN1 二层互通
三层网关在前端路由器:192.168.1.1;交换机管理地址 192.168.1.15
现象:安全策略写any any就能互通;写细分源 / 目的 / 应用策略直接断网
一、核心 4 个高频原因(按概率排序)
1. 策略源 / 目的地址对象匹配错误(最常见)
你细分策略时,源 / 目的网段写的不对:
Trust 域终端网段是192.168.1.0/24,如果对象掩码写成255.255.255.128、漏写网关 / 交换机地址,流量匹配不上策略,被默认拒绝;
二层防火墙域间转发,流量源 IP 是终端 192.168.x,目的 IP 是互联网公网地址,细分策略如果目的只写内网段,上网流量完全不命中。
示例错误策略:
plaintext
security-policy
rule 10 permit source 192.168.1.0 0.0.0.128 destination 192.168.1.0 0.0.0.255 zone untrust
# 缺陷:只放内网互访,互联网目的公网IP匹配不到,断网
正确上网细分策略模板:
plaintext
security-policy
rule 10 permit source 192.168.1.0 0.0.0.255 destination any zone untrust
2. 应用 / 服务匹配限制,细分策略缺少基础协议
当你细分策略限制service/ 应用时,漏放TCP、UDP、ICMP 基础协议:
网页访问需要 TCP 80/443、DNS UDP53、ping ICMP;
策略只放单一应用(如仅 http),DNS 解析不通导致全网打不开,看起来网络断流;
写any策略默认放行所有应用 / 协议,不存在这个问题。
3. 二层安全域:接口未放通同域本地流量(交换机管理 IP 不通附带现象)
交换机管理地址 192.168.1.15 属于 Trust 域,访问防火墙本机 / 同域设备需要域内策略:
plaintext
security-zone Trust
intra-zone permit
如果关闭 intra-zone,同 VLAN 二层互访都会受限,细分策略容易遗漏本地互访流量。
4. 路由可达性判断误区(二层防火墙容易忽略)
防火墙本身不需要三层网关转发,但策略匹配时会校验路由:
细分策略限定目的网段时,若防火墙无默认路由指向路由器 192.168.1.1,设备判定目的不可达,直接丢弃流量;
写any策略时路由校验宽松,流量正常转发。
修复:防火墙配置指向路由器的静态默认路由
plaintext
ip route-static 0.0.0.0 0 192.168.1.1
二、快速定位命令(F100-C-G3 现场直接执行)
看流量是否命中细分策略(无 hit 计数 = 策略匹配失败)
plaintext
display security-policy rule all
hit 计数 = 0:地址、服务、域匹配写错;
hit 计数 > 0 但不通:NAT、路由、应用检测拦截。
开启会话调试,查看流量丢弃原因
plaintext
debugging security-policy packet
terminal monitor
terminal debugging
日志会明确打印:deny by security policy / no route to destination / app block
验证域配置、二层转发
plaintext
display zone
display interface GigabitEthernet 0/4
display interface GigabitEthernet 0/5
确认接口绑定正确安全域、VLAN1 允许通过。
三、标准化修复步骤
配置默认路由指向三层网关路由器
plaintext
system-view
ip route-static 0.0.0.0 0 192.168.1.1
开启 Trust 域内二层互通
plaintext
security-zone Trust
intra-zone permit
标准上网细分安全策略(替换你现有的细分规则)
plaintext
security-policy
rule 10 name Trust_to_Untrust_Internet permit
source-zone Trust
destination-zone Untrust
source-address 192.168.1.0 mask 255.255.255.0
destination-address any
service icmp service dns service tcp
保存配置测试流量
plaintext
save
补充关键说明
二层防火墙域间策略核心逻辑:
any any策略无地址 / 协议限制,所有流量全部放行,所以网络通;
自定义细分策略一旦源网段、目的范围、协议服务、路由任意一项不匹配,流量直接被防火墙默认策略拒绝,表现为网络完全不通。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论