一、先给核心结论
如果没有创建 zone-pair security source any destination any,所有域间流量默认全部阻断,内网不可能全通;
你设备里存在这条配置:
plaintext
zone-pair security source any destination any
object-policy apply ip 1
# object-policy ip 1
rule 0 pass
这条配置生效后,全域间流量默认全部放行,相当于防火墙无隔离,内网所有区域互通。
二、底层匹配规则(V7 防火墙通用)
报文跨安全域转发时,优先匹配精确域间实例(trust→untrust、trust→dmz 等);
找不到对应精确 zone-pair,就匹配 any-any 全域间实例;
不存在 any-any 域间实例 → 报文直接丢弃(默认 deny);
存在 any-any 实例,会调用绑定的 object-policy(域间策略)逐条匹配规则:
你策略 1 只有 rule 0 pass,无任何拒绝规则;
所有流量全部匹配这条放行规则,无遗漏,所有域之间自由互通。
三、分两种场景对比
场景 1:无 any-any zone-pair(标准安全部署)
plaintext
# 只创建trust→untrust、trust→dmz等精确域间
zone-pair security source trust destination untrust
object-policy apply ip trust-untrust
不在这几组的域间流量(dmz→trust、dmz→untrust 等)全部阻断,不会全通。
场景 2:配置 any-any zone-pair + 全放行策略(你当前现状)
plaintext
zone-pair security source any destination any
object-policy apply ip 1
object-policy ip 1
rule 0 pass
任意安全域互访(trust↔untrust、trust↔dmz、dmz↔local 等)全部放行,防火墙失去访问控制能力。
四、补充两个容易混淆的关键点
同安全域内流量不受 any-any 策略控制
同一安全域(比如 trust 内多接口)互通默认阻断,需要单独命令放行:
plaintext
security-zone intra-zone default permit
全局跨域默认动作不影响 zone-pair 策略
security-zone inter-zone default permit 仅在无任何 zone-pair时生效;只要配置了 any-any 域间实例,以 object-policy 规则为准。
五、安全整改建议(企业标准做法)
删除 any-any 全域间实例,改用精确域间:
plaintext
undo zone-pair security source any destination any
只创建业务需要的域间(trust→untrust、trust→dmz),配置最小权限放行策略;
策略末尾增加隐含拒绝规则,防止未知流量穿透:
plaintext
object-policy ip trust-untrust
rule 999 deny
极简总结
只要配置了zone-pair any-any并绑定一条全放行的 object-policy rule 0 pass,所有安全域之间流量全部互通;如果没有 any-any 域间实例,没有配置对应域间策略的流量会全部拒绝,内网不会全通。
我补充上来的zone-pair配置 实际全部可以删除吧
我补充上来的zone-pair配置 实际全部可以删除吧
# zone-pair security source Any destination Any
object-policy apply ip 1
# zone-pair security source Local destination Local
object-policy apply ip 1
# zone-pair security source Local destination Trust
object-policy apply ip 1
# zone-pair security source Local destination Untrust
object-policy apply ip 1
# zone-pair security source Trust destination Local
object-policy apply ip 1
# zone-pair security source Trust destination Trust
object-policy apply ip 1
# zone-pair security source Trust destination Untrust
object-policy apply ip 1
# zone-pair security source Untrust destination Local
object-policy apply ip 1
# zone-pair security source Untrust destination Trust
object-policy apply ip 1
# zone-pair security source Untrust destination Untrust
object-policy apply ip 1
rule 30 name trust-local
action pass
source-zone office
source-zone Management
source-zone CaiWu
destination-zone Local
rule 15 name local-any
action pass
source-zone Local
rule 6 name deny-any
不是的,你观察到的 object-policy ip 1 rule 0 pass 并不意味着内网“全通”。
这个配置本身只是一个“策略模板”,它是否生效,完全取决于它是否被正确应用到了具体的“域间策略”(zone-pair)中。
可以把防火墙的策略体系想象成盖房子:
对象策略 (Object-policy):就像一块块砖。你创建的 object-policy ip 1 rule 0 pass 就是一块“允许通行”的砖,但它本身只是一块材料,摆在那里什么也拦不住或放不通。
域间策略 (Zone-pair):这才是用砖砌成的墙。墙的作用是隔开不同的“安全域”(Zone)。只有当你在某个“域间策略”(例如从 Trust 到 Untrust)中,明确指定要使用这块“砖”(即调用这个对象策略)时,它才会生效。
对象策略未被调用:如果你只是创建了 object-policy ip 1,但没有在任何 zone-pair security 配置中使用 object-policy apply ip 1 命令去调用它,那么这条 rule 0 pass 就完全不会生效。流量仍将被防火墙的默认行为(通常是拒绝)所控制。
“安全策略”功能已开启:这是最关键的一点。H3C V7平台的防火墙有“对象策略”和“安全策略”两套体系,它们不能同时使用。
域间策略的优先级:即使对象策略生效,它也有自己的匹配顺序。在一个域间策略中,如果同时配置了 object-policy 和 packet-filter(包过滤),那么 object-policy 的优先级更高。
假设你的配置是这样的:
在这个例子中,从 Trust 区域到 Untrust 区域的流量才会被放行。反之,如果没有在 zone-pair security source Untrust destination Trust 中做类似调用,那么从 Untrust 到 Trust 的流量依然会被拒绝。
要准确判断你的防火墙策略,可以在命令行执行以下命令进行确认:
检查是否存在安全策略:
如果有输出,说明安全策略已启用,你的 object-policy 配置无效。
检查对象策略是否被调用:
查看输出中,是否有 zone-pair 配置了 object-policy apply,并且引用的策略名称是 1。
防火墙域间策略 命令行里面已经调用了object-policy apply
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
供应商当初这样配置 是方便他们调试吗 另一台子公司的防火墙又没这样配置