M9000防火牆+安全策略排查全通策略會話命中
- 0關注
- 0收藏,1963瀏覽
問題描述:
M9000防火牆安全策略問題:
1、網元終端從外部訪問進來,查看會話命中,可以確定為所屬安全策略命中,會話命中正常;
2、資源池內部網元去訪問外部網元設備,查看會話命中,發現命中策略為全通策略,會話命中異常;
3、查看防火牆相對應的安全策略,發現命中全通策略的會話的源地址與目的地址,都包含在所屬的業務安全策略,但是並沒有通過所屬的安全策略而是通過全通策略去訪問外部網元。
兩組安全策略為同一業務進出安全策略 ,源地址、目的地址、源端口、目的端口都已確認核實。
出方向會話為啥會通過全通策略去訪問?
組網及組網描述:
- 2023-04-12提問
- 舉報
-
(0)
最佳答案
可以把匹配順序調整一下,安全策略是順序匹配,優先級高的放前麵,默認策略放後麵
- 2023-04-12回答
- 評論(1)
- 舉報
-
(0)
全通策略已經調整到最後麵的,按順序應該去匹配相應的業務策略,怎麼還會去匹配全通策略呢 這個就是問題所在,地址和端口都核對過,沒有問題
這個看你的匹配順序,你先過濾出trust到untrust的所有策略,然後從上往下看下,大概率是其它策略沒法匹配才會匹配到這一個全通的策略
- 2023-04-12回答
- 評論(1)
- 舉報
-
(0)
會話對應的出方向策略已經查過了,和如方向地址是對應的,如方向都是正常的。但是出方向的會話就是走的全通策略,
會話對應的出方向策略已經查過了,和如方向地址是對應的,如方向都是正常的。但是出方向的會話就是走的全通策略,
可能是因為全通策略在業務安全策略之前匹配,導致會話被全通策略匹配並通過,而沒有進一步匹配業務安全策略。建議檢查安全策略的匹配順序是否正確,確保業務安全策略在全通策略之前匹配。同時,也要確保業務安全策略的匹配條件完全覆蓋了需要訪問的外部網元設備,以避免會話被錯誤地匹配到全通策略。
- 2023-04-12回答
- 評論(0)
- 舉報
-
(0)
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
全通策略已經調整到最後麵的,按順序應該去匹配相應的業務策略,怎麼還會去匹配全通策略呢 這個就是問題所在,地址和端口都核對過,沒有問題