码迷,mamicode.com
首页 > 其他好文 > 详细

H3C防火墙安全策略故障排查思路

时间:2020-06-03 00:46:16      阅读:294      评论:0      收藏:0      [点我收藏+]

标签:一个   针对性   创建   报文   如何   说明   思路   安全策略   情况   

H3C防火墙安全策略故障排查思路

空配情况谁和谁都不通,全部禁止,接口加了域并配置了策略之后才能访问。

主要思路有两步:

  • 第一步:报文是否到达防火墙上?

  • 第二步:报文是否被防火墙给阻断了?

如何判断报文是否到达防火墙?

  • 查看防火墙是否有会话表项
dis sesseion table ipv4 source-ip IP destination-ip IP verbose

如果命中了会话表项,就会继续转发;如果没命中任何会话表项,就转交给策略规则进行匹配,如果策略允许,就创建一表新的表项,如果策略不允许,就扔掉报文。注意,会话有老化时间。

换句话,如果有会话表项,说明报文之前“路过”过,并且通过了防火墙安全策略的检查。

如果没有会话表项,就要进行下一步的排查。通过debug命令查看报文是否上到防火墙?

debug ip packet acl 3000   #因为bug信息很多,加上acl会更有针对性。

没有看到bug信息有两种可能,报文没有过来,另一个是被策略给干了,有debug信息说明报文到达了防火墙,如果没有bug信息,说明报文没有上到防火墙。

web里面有抓包功能,可以试一试,建议匹配acl

如果通过debug和抓包判断了包到达了防火墙上,接下来就要判断安全策略是否阻断了防火墙。如果判断是安全策略干的呢?

debu secrr-policy    #最好也写acl。

H3C防火墙安全策略故障排查思路

标签:一个   针对性   创建   报文   如何   说明   思路   安全策略   情况   

原文地址:https://www.cnblogs.com/yizhangheka/p/13034701.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!