• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

华三防火墙新建策略的时候策略默认是 deny 的,新建策略怎么改成默认是 permit 的

16小时前提问
  • 0关注
  • 0收藏,62浏览
凉皮 零段
粉丝:0人 关注:1人

问题描述:

华三防火墙新建策略的时候部分型号策略默认是 deny 的,新建策略怎么改成默认是 permit 的

 

 

 

 

 

4 个回答
Xcheng 九段
粉丝:136人 关注:3人

没有全局参数,每次新建时人工选呗

暂无评论

粉丝:25人 关注:1人

H3C防火墙新建安全策略时默认动作是deny(拒绝)这个默认行为本身无法直接修改为permit

不过,要达到“默认放行”的效果,可以通过配置一条全通策略来实现。

💻 方法一:Web界面配置(推荐)

这是最直观的方法。

  1. 登录防火墙Web管理页面,进入 “策略” > “安全策略” > “安全策略” 。

  2. 点击 “新建” 按钮。

  3. 在新建策略页面,关键配置如下

    • 源安全域:选择 any

    • 目的安全域:选择 any

    • 动作:选择 “允许”

    • 其他选项保持默认

  4. 点击确认完成创建。

  5. (重要) 将这条新创建的“全通”策略的优先级移动到列表的最下方。因为安全策略是按顺序匹配的,将它放在最后,可以确保它只作为“兜底”规则,不影响更精细的拒绝策略。

⌨️ 方法二:命令行配置(CLI)

如果你习惯使用命令行,可以参照以下步骤:

  1. 进入系统视图。

  2. 进入IPv4安全策略视图:

    text
    security-policy ip

  3. 创建一条规则,比如编号为20,动作为pass(允许)

    text
    rule 20 name any action pass

这条命令创建了一条不指定任何源/目的安全域的规则,效果等同于匹配所有区域

📝 补充说明与建议

  • 理解“隐式拒绝”:H3C防火墙(特别是V7版本)遵循“白名单”机制,即没有明确放行的流量默认都会被拒绝。因此,配置全通策略是符合设计逻辑的常见做法。

  • 注意版本差异:部分较老的V5版本防火墙,其默认行为可能与V7不同。如果你使用的是非常古老的型号,建议查阅对应版本的官方文档。

  • 关于“域内”策略:对于同一个安全域内不同接口间的流量,有一条专用命令可以修改默认行为:

    text
    security-zone intra-zone default permit


    这条命令仅影响同域内流量,与不同安全域之间的策略无关。

暂无评论

粉丝:23人 关注:2人

一、先分清两个完全不同的 “默认”(关键区分,别混淆)
1. Web 新建策略弹窗里的单选框默认(你截图这个:新建规则默认选中「拒绝」)
底层限制:Comware V7 防火墙无全局开关修改新建页面默认选中项
官方固件固定逻辑:新建单条安全策略规则时,action 默认内置为 drop(拒绝),Web 界面没有配置项、命令行没有全局参数能把弹窗默认改成 “允许”。
每次新建只能手动点选「允许」,无法一键永久修改页面默认单选。
2. 全局缺省策略(所有流量没匹配任何自定义规则时的兜底动作)
这个是可以通过命令行修改的,很多人会混淆这两点:
新建单条规则默认动作:改不了页面弹窗预选;
全局兜底默认流量动作:可配置放行 / 阻断。
二、命令行:修改全局兜底缺省策略(未匹配任何规则的流量)
如果你的需求是「所有没匹配到策略的流量默认放行」,用这条配置:
shell
system-view
security-policy
# 全局兜底流量默认允许(默认是drop丢弃)
default rule action pass

恢复默认阻断:
shell
system-view
security-policy
default rule action drop

Web 界面路径(V7 新版 Web):
安全策略 → 策略总览 → 右上角「缺省规则」→ 动作改为允许H3C。
三、替代方案:解决每次新建都要手动选允许的痛点
方案 1:复制已有允许策略新建(最高效)
先建好一条动作 = 允许的标准策略;
后续新增流量规则,直接选中这条策略点复制;
复制出来的新策略会继承原策略「允许」动作,不用重复勾选。
方案 2:命令行批量创建允许规则(适合批量加策略)
shell
system-view
security-policy
# 创建规则,直接指定pass允许,无需手动改
rule name Trust-LAN-Pass source-zone trust destination-zone lan action pass

方案 3:模板 / 策略组预配置(多策略复用)
固定常用源 / 目的安全域模板,模板内动作统一设为允许,新建时直接调用模板,自动带入允许动作。
四、补充:同域 / 跨域流量全局默认放行(和安全策略无关)
如果是安全域之间无策略时直接通:
shell
# 不同安全域之间流量默认放行(不推荐正式环境)
security-zone inter-zone default permit
# 同一安全域内接口互访默认放行
security-zone intra-zone default permit

注意:这条是域间底层转发开关,和安全策略规则是两套体系,不改变新建策略弹窗默认选项。
总结
你截图「新建弹窗默认选中拒绝」:没有任何设置能永久改成默认选中允许,固件底层固定;日常用「复制已有允许策略」最省事;
全局兜底流量(没匹配任何策略)默认放行:可通过 default rule action pass 修改;
批量建策略推荐用命令行直接带 action pass 创建,省去页面勾选步骤。

暂无评论

粉丝:133人 关注:11人

只能动作点允许 

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明