問題描述:
想谘詢下zone-pair security 在防火牆上的邏輯行為是怎麼樣的!
目前防火牆上配置了安全策略組
object-group ip address 光寬探針
0 network host address xx.xx.xx.xx
rule 887 name 光寬探針訪問資源樹PG數據庫
action pass
counting enable
source-zone Untrust
destination-zone Trust source-ip 光寬探針
destination-ip 資源樹PG數據庫148.21
service 18804
也配置了zone-pair命令
zone-pair security source CTYUN destination Local
packet-filter 3000
我能否理解成防火牆的邏輯是流量進入到防火牆內,優先匹配安全策略,如果安全策略匹配成功,那麼防火牆直接放行;如果安全策略匹配不成功,接著匹配安全域間實例,如果匹配安全域間實例成功,那麼防火牆依舊放行,如果沒有匹配中安全域間實例,那麼數據包將最終拒絕放行。
我想確認上述的防火牆邏輯是否正確。
同時想了解下,zone-pair security 功能相對於安全策略有些重複,是為了更好的區分域間流量外,還有什麼具體的原因會配置該命令
謝謝!
組網及組網描述:
- 2022-10-17提問
- 舉報
-
(0)
同一台防火牆上安全策略與域間策略隻能一種生效。
缺省情況下防火牆域間策略生效,所以會出現在新版本防火牆中配置安全策略後發現策略不生效,並且在策略中也沒有任何數據匹配的異常現象,原因就是設備默認是域間策略生效,所以如果防火牆配置安全策略則需要讓防火牆安全策略生效,如果防火牆配置域間策略則需要關閉防火牆的安全策略。
另外在防火牆WEB網管界麵配置時,舊版本(D022之前版本)防火牆在WEB界麵配置完成後在命令行生成域間策略的配置、新版本(D022之後版本)防火牆在WEB界麵配置完成後在命令行生成安全策略的配置,如果使用WEB界麵配置安全策略後出現不生效情況很大可能是因為防火牆默認為域間策略生效。
舉例:將防火牆從域間策略修改為安全策略:
[H3C]undo security-policy disable
舉例:將防火牆從安全策略修改為域間策略:
[H3C]security-policy disable
- 2022-10-17回答
- 評論(0)
- 舉報
-
(0)
啟用了安全策略,域間策略就不生效了
- 2022-10-17回答
- 評論(1)
- 舉報
-
(0)
但是看社區之前人的回答,security-policy和zone-pair 是共存的呀~ 鏈接:https://zhiliao.h3c.com/questions/dispcont/90219
但是看社區之前人的回答,security-policy和zone-pair 是共存的呀~ 鏈接:https://zhiliao.h3c.com/questions/dispcont/90219
啟用安全策略後,域間策略不生效,安全策略和域間策略無法並存,即安全策略生效時,object-policy無效。
如果是zone-pair下麵跟的是packet-filter,則是先匹配安全策略,再匹配該包過濾策略。
- 2022-10-17回答
- 評論(0)
- 舉報
-
(0)
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明