您好:
在用HCL做实验时,我启动了一台防火墙,并且用PC直连
配置G1/0/1接口为Management域,并放通any,但用电脑连接测试时,显示匹配,却被deny掉了
[H3C-security-policy-ip-0-pass]dis thi
#
rule 0 name pass
action pass #
*Mar 18 17:20:27:121 2022 H3C FILTER/7/PACKET: -COntext=1; The packet is denied. Src-ZOne=Management, Dst-ZOne=Local;If-In=GigabitEthernet1/0/1(2), If-Out=InLoopBack0(1284); Packet Info:Src-IP=192.168.0.7, Dst-IP=192.168.0.1, VPN-Instance=,Src-Port=1576, Dst-Port=80, Protocol=TCP(6), Application=http(31),Terminal=invalid(0), ACL=none, Rule-ID=0.
添加源域和目的域local之后才可以,请问这为什么?不理解
[H3C-security-policy-ip-0-pass]dis thi
#
rule 0 name pas
s action pass
source-zone managemen
t destination-zone local
*Mar 18 17:22:47:621 2022 H3C FILTER/7/PACKET: -COntext=1; The packet is permitted. Src-ZOne=Management, Dst-ZOne=Local;If-In=GigabitEthernet1/0/1(2), If-Out=InLoopBack0(1284); Packet Info:Src-IP=192.168.0.7, Dst-IP=192.168.0.1, VPN-Instance=, Src-MacAddr=0a00-2700-0016,Src-Port=8, Dst-Port=0, Protocol=ICMP(1), Application=ICMP(22742),Terminal=invalid(0), SecurityPolicy=pass, Rule-ID=0.
(0)
防火墙的通信是基于区域的,不能单纯理解成路由策略的空语句匹配所有流量。如果不指定源区域和目的区域是匹配不到流量的,相当于一个无效策略,所以就会匹配到防火墙默认的策略,拒绝所有流量
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
没加域根本匹配不上策略,两种场景都匹配了,只是前面时行为时deny