HCL模拟器防火墙策略问题
- 0关注
- 1收藏,1368浏览
问题描述:
您好:
在用HCL做实验时,我启动了一台防火墙,并且用PC直连
配置G1/0/1接口为Management域,并放通any,但用电脑连接测试时,显示匹配,却被deny掉了
[H3C-security-policy-ip-0-pass]dis thi
#
rule 0 name pass
action pass #
*Mar 18 17:20:27:121 2022 H3C FILTER/7/PACKET: -COntext=1; The packet is denied. Src-ZOne=Management, Dst-ZOne=Local;If-In=GigabitEthernet1/0/1(2), If-Out=InLoopBack0(1284); Packet Info:Src-IP=192.168.0.7, Dst-IP=192.168.0.1, VPN-Instance=,Src-Port=1576, Dst-Port=80, Protocol=TCP(6), Application=http(31),Terminal=invalid(0), ACL=none, Rule-ID=0.
添加源域和目的域local之后才可以,请问这为什么?不理解
[H3C-security-policy-ip-0-pass]dis thi
#
rule 0 name pas
s action pass
source-zone managemen
t destination-zone local
*Mar 18 17:22:47:621 2022 H3C FILTER/7/PACKET: -COntext=1; The packet is permitted. Src-ZOne=Management, Dst-ZOne=Local;If-In=GigabitEthernet1/0/1(2), If-Out=InLoopBack0(1284); Packet Info:Src-IP=192.168.0.7, Dst-IP=192.168.0.1, VPN-Instance=, Src-MacAddr=0a00-2700-0016,Src-Port=8, Dst-Port=0, Protocol=ICMP(1), Application=ICMP(22742),Terminal=invalid(0), SecurityPolicy=pass, Rule-ID=0.
组网及组网描述:
- 2022-03-18提问
- 举报
-
(0)
防火墙的通信是基于区域的,不能单纯理解成路由策略的空语句匹配所有流量。如果不指定源区域和目的区域是匹配不到流量的,相当于一个无效策略,所以就会匹配到防火墙默认的策略,拒绝所有流量
- 2022-03-18回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
没加域根本匹配不上策略,两种场景都匹配了,只是前面时行为时deny