H3C防火墙安全策略故障排查思路

Posted yizhangheka

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了H3C防火墙安全策略故障排查思路相关的知识,希望对你有一定的参考价值。

H3C防火墙安全策略故障排查思路

空配情况谁和谁都不通,全部禁止,接口加了域并配置了策略之后才能访问。

主要思路有两步:

  • 第一步:报文是否到达防火墙上?

  • 第二步:报文是否被防火墙给阻断了?

如何判断报文是否到达防火墙?

  • 查看防火墙是否有会话表项
dis sesseion table ipv4 source-ip IP destination-ip IP verbose

如果命中了会话表项,就会继续转发;如果没命中任何会话表项,就转交给策略规则进行匹配,如果策略允许,就创建一表新的表项,如果策略不允许,就扔掉报文。注意,会话有老化时间。

换句话,如果有会话表项,说明报文之前“路过”过,并且通过了防火墙安全策略的检查。

如果没有会话表项,就要进行下一步的排查。通过debug命令查看报文是否上到防火墙?

debug ip packet acl 3000   #因为bug信息很多,加上acl会更有针对性。

没有看到bug信息有两种可能,报文没有过来,另一个是被策略给干了,有debug信息说明报文到达了防火墙,如果没有bug信息,说明报文没有上到防火墙。

web里面有抓包功能,可以试一试,建议匹配acl

如果通过debug和抓包判断了包到达了防火墙上,接下来就要判断安全策略是否阻断了防火墙。如果判断是安全策略干的呢?

debu secrr-policy    #最好也写acl。

以上是关于H3C防火墙安全策略故障排查思路的主要内容,如果未能解决你的问题,请参考以下文章

论运维之故障排查思路与方法

H3C防火墙开启路由跟踪

AWS 连接不上实例的端口的排查思路

H3C防火墙基于object-policy(对象策略) 和 security-policy(安全策略)的配置

Rsync 12种故障排查及思路

Windows系统故障排查