问题描述:
想咨询下zone-pair security 在防火墙上的逻辑行为是怎么样的!
目前防火墙上配置了安全策略组
object-group ip address 光宽探针
0 network host address xx.xx.xx.xx
rule 887 name 光宽探针访问资源树PG数据库
action pass
counting enable
source-zone Untrust
destination-zone Trust source-ip 光宽探针
destination-ip 资源树PG数据库148.21
service 18804
也配置了zone-pair命令
zone-pair security source CTYUN destination Local
packet-filter 3000
我能否理解成防火墙的逻辑是流量进入到防火墙内,优先匹配安全策略,如果安全策略匹配成功,那么防火墙直接放行;如果安全策略匹配不成功,接着匹配安全域间实例,如果匹配安全域间实例成功,那么防火墙依旧放行,如果没有匹配中安全域间实例,那么数据包将最终拒绝放行。
我想确认上述的防火墙逻辑是否正确。
同时想了解下,zone-pair security 功能相对于安全策略有些重复,是为了更好的区分域间流量外,还有什么具体的原因会配置该命令
谢谢!
组网及组网描述:
- 2022-10-17提问
- 举报
-
(0)
同一台防火墙上安全策略与域间策略只能一种生效。
缺省情况下防火墙域间策略生效,所以会出现在新版本防火墙中配置安全策略后发现策略不生效,并且在策略中也没有任何数据匹配的异常现象,原因就是设备默认是域间策略生效,所以如果防火墙配置安全策略则需要让防火墙安全策略生效,如果防火墙配置域间策略则需要关闭防火墙的安全策略。
另外在防火墙WEB网管界面配置时,旧版本(D022之前版本)防火墙在WEB界面配置完成后在命令行生成域间策略的配置、新版本(D022之后版本)防火墙在WEB界面配置完成后在命令行生成安全策略的配置,如果使用WEB界面配置安全策略后出现不生效情况很大可能是因为防火墙默认为域间策略生效。
举例:将防火墙从域间策略修改为安全策略:
[H3C]undo security-policy disable
举例:将防火墙从安全策略修改为域间策略:
[H3C]security-policy disable
- 2022-10-17回答
- 评论(0)
- 举报
-
(0)
启用了安全策略,域间策略就不生效了
- 2022-10-17回答
- 评论(1)
- 举报
-
(0)
但是看社区之前人的回答,security-policy和zone-pair 是共存的呀~ 链接:https://zhiliao.h3c.com/questions/dispcont/90219
但是看社区之前人的回答,security-policy和zone-pair 是共存的呀~ 链接:https://zhiliao.h3c.com/questions/dispcont/90219
启用安全策略后,域间策略不生效,安全策略和域间策略无法并存,即安全策略生效时,object-policy无效。
如果是zone-pair下面跟的是packet-filter,则是先匹配安全策略,再匹配该包过滤策略。
- 2022-10-17回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明