防火墙如何设置安全策略的源和目的IP地址 - 华为防火墙 安全策略精要 - 华为防火墙Firewall是一种网络安全设备根据预定的安全策略监视、过滤和控制传入和传出网络的流量保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。安全策略安全策略是一组用于保护网络的规则。为了对进出网络的访问行为进行控制保护特定网络免受“不信任”网络的攻击同时允许两个网络之间进行合法通信管理员可以在系统中配置安全策略。安全策略是设备的核心安全功能它对通过设备的数据流进行检验放行符合安全策略的合法流量阻断非法流量实现访问控制保证网络安全。创建安全策略安全策略是由匹配条件和动作组成的规则。设备接收到报文后将报文的属性与安全策略的匹配条件进行匹配。如果所有条件都匹配则此报文成功匹配安全策略设备按照该安全策略的动作处理这个报文及其后续双向流量。安全策略匹配规则每条安全策略包含多个匹配条件各个匹配条件之间是“与”的关系流量与各个条件必须全部匹配才认为该流量匹配这条安全策略。一个匹配条件中可以设置多个值多个值之间是“或”的关系只要流量匹配了其中任意一个值就认为匹配了这个条件。配置先精确后宽泛。当配置多条安全策略规则时安全策略列表默认是按照配置顺序排列的越先配置的安全策略规则位置越靠前优先级越高。安全策略过滤机制对于同一条数据流只需在访问发起的方向上配置安全策略反向流量无需配置安全策略。即首包匹配安全策略通过安全策略过滤后建立会话表后续包直接匹配会话表无需再匹配安全策略提高业务处理效率。安全策略规划原则使用安全区域划分网络。遵循最小授权原则。策略顺序很重要先精确后宽泛先常用后少用。出入方向的流量都要识别和控制。定期审计和优化安全策略。NAT开放安全策略在安全策略中指定的源目的IP地址就是业务流量最开始的源IP地址和最终的目的IP地址。源NAT、目的NAT、NAT server开放安全策略 - 华为防火墙 安全策略精要 - 华为防火墙不通故障排查思路报文是否上到防火墙?报文是否被防火墙阻断?---报文被防火墙阻断不会有会话表报文是否到防火墙步骤查看是否有会话表---要写明源目的地址另外要加verbose才能显示更多信息有会话说明报文上到了防火墙display session table ipv4 source-ip 172.31.0.1 destination-ip 172.31.0.4 ver查看报文是否到达防火墙debug ip packet acl 3000【debug报文很多 一般要求后面写明细ACL匹配报文(写明源目的地址和协议)】抓包查看报文是否到防火墙被阻断步骤检查安全策略是否放通报文-正常 permitted)-阻断 denieddebugging security-policy packet ip aclDebug报文很多 一般要求后面写明细ACL匹配报文(写明源目的地址和协议)检查ASPF策略是否阻断报文debugging aspf packet {acl}Tips查看设备是否开启debug开关debug完成后关闭debug开启H3Cdisplay debuggingSecurity-policy packet ip acl 3000 debugging switch is onH3Cundo terminal debuggingThe current terminal is disabled to display debugging logs.无debug信息debug ip packet没有信息说明报文没有上到防火墙有vpn-instance的需要在ACL里加vpn-instancedebug信息多尽量写明ACL关闭安全策略日志的显示info-center sourceFILTER monitor deny