华三 SecPath V7 防火墙 将域间默认拒绝改为默认允许 完整方案(含两种实现方式 + 官方天坑提醒)
一、先明确底层机制(为什么默认拒绝是天坑)
华三所有 V7 防火墙(F100/F1000/M9000/LB)出厂标准逻辑:
跨安全域(不同 zone 之间):无匹配安全策略时,默认丢弃报文(隐式 deny 兜底),这是你遇到的核心问题;
同安全域内接口互访:默认也是丢弃,需要单独开域内放行;
两种实现方式,适用场景完全不同:全局 default rule action(推荐调试)、any-any 全域域间实例(永久放行)。
方式 1:安全策略全局修改兜底默认动作(最简单,单条命令)
1. Console 命令行配置
plaintext
system-view
# 进入安全策略视图
security-policy
# 将全域间未匹配流量默认动作改为允许pass(出厂默认drop)
default rule action pass
# 如需同时控制同安全域内流量(域内也受默认策略管控)
default packet-filter intrazone enable
2. Web 界面操作路径
登录防火墙 Web → 策略配置 → 安全策略 → 全局配置 → 缺省规则动作,选择允许,保存应用。
3. 验证命令
plaintext
display security-policy default action
# 输出pass即修改成功
4. 原理说明
所有跨安全域流量,逐条匹配自定义安全规则;所有规则都没命中的报文,不再丢弃,直接放行;原有自定义放行 / 拒绝规则优先级不变,仅修改最后兜底动作。
方式 2:创建 any-any 全域域间实例(传统 zone-pair 方案)
适合老版本、习惯域间策略的场景,匹配所有源 / 目的安全域:
plaintext
system-view
# 创建匹配任意安全域到任意安全域的域间实例
zone-pair security source any destination any
# 在实例下绑定空策略,加一条全局放行规则
object-policy apply ip 1
quit
# 定义全域放行策略
security-policy ip 1
rule 0 permit
区别对比
方式 1 default rule action pass:全局兜底,不新增 zone-pair,配置简洁,新版本推荐;
方式 2 any-any zone-pair:精确匹配所有域间流量,适合需要单独给全域流量加日志、QoS 的场景。
补充:同安全域内接口互通(默认也阻断,配套配置)
同一安全域(如 trust 内多个接口)互访默认丢弃,如需放开:
plaintext
system-view
# 全局开启域内接口默认允许
security-zone intra-zone default permit
二、必须重视的「默认允许」重大天坑(官方安全警告)
安全风险(最大坑)
默认动作改为允许后,所有未写策略的流量全部放行,防火墙完全失去边界隔离能力,外网 Untrust 可直接穿透访问内网 Trust 服务器,等保、安全规范不允许生产环境长期使用。
仅允许测试调试阶段临时开启,正式上线必须改回default rule action drop,用精确白名单策略管控流量。
Local 本机域特殊限制
Local(防火墙本机)与其他域互访,不受default rule action pass控制,仍需单独配置源 / 目的 local 的放行规则,否则无法 SSH/Web 登录设备。
会话表缓存坑
修改默认动作后,旧会话不受影响;新建流量才会生效;若仍丢包,执行清空会话表:
plaintext
reset session table all
NAT、SSL VPN、链路负载均衡联动影响
默认放行后,内网所有流量会自动匹配 NAT outbound,若未做地址 / 端口限制,极易出现 NAT 端口耗尽、内网主机暴露公网。
三、临时调试最优操作流程(推荐)
临时放开全域流量,调试业务连通性:
plaintext
system-view
security-policy
default rule action pass
业务调通后,逐条添加精准放行白名单策略;
恢复安全默认拒绝,消除安全漏洞:
plaintext
system-view
security-policy
default rule action drop
极简总结
快速改默认允许:安全策略视图执行default rule action pass,Web 界面在安全策略全局配置修改缺省动作;
传统方案:创建zone-pair security source any destination any绑定全域放行策略;
核心坑:默认允许仅临时调试用,生产环境必须切回默认拒绝,否则内网完全暴露无防护;本机 Local 域流量不受默认动作控制,需单独放行。
暂无评论
H3C防火墙的默认策略是“拒绝所有”(白名单机制)。你提到的“天坑”,很可能就是指配置完成后因为这条默认规则导致业务不通,这是一个非常常见的情况。
根据你设备运行的软件版本(V5平台或V7平台),解决方案有所不同。Comware V7 是当前的主流平台,而 V5 是较老的平台。
这是V7平台最推荐的、也是最能规避“天坑”的做法。核心逻辑是不修改默认拒绝规则,而是新创建一条优先级最低的“放行所有”策略。当没有更具体的策略匹配时,这条策略就会生效,实现“默认允许”的效果。
操作要点:
新建规则:在 security-policy ip 视图下,创建一条新规则(如 rule 0)。
配置动作:将 action 设置为 pass(允许)。
调整优先级:确保这条 any-to-any 的规则优先级最低(即排在所有具体策略之后)。这样既能保证未匹配具体策略的流量被放行,又不会影响已有的精细控制。
如果你的业务流量只在同一个安全域内的不同接口间流动(例如,从Trust域的GigabitEthernet1/0/1口进,从同属Trust域的GigabitEthernet1/0/2口出),那么仅配置“全通”策略还不够,因为同一安全域内的流量默认也是被丢弃的。
这条命令会放通所有安全域内的流量。或者,你也可以在安全策略中为特定同域流量创建放行策略。
如果你使用的是V5平台的老款防火墙,配置方法与V7不同,使用的是zone-pair(域间策略)。
同样,如果你希望所有域间流量都默认放行,可以创建一个 source any destination any 的域间策略并放行。
强烈不推荐使用此方法。此命令会改变设备最底层的安全机制,容易导致意想不到的安全风险。
在极早期的V7版本中,理论上可以通过 packet-filter default permit 命令将缺省过滤动作改为允许。但这条命令在当前主流V7版本的防火墙上已无法使用。强行修改可能导致设备管理失控,请务必避免。
如果你更习惯用Web界面:
登录防火墙Web管理页。
导航至“安全策略”或“策略”相关菜单。
点击“新建”,创建一个策略。
将“源安全域”、“目的安全域”等均设为“any”,动作选“允许”,并保存。
(关键) 检查策略列表,确保这条全通策略位于列表最下方,优先级最低。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论