SecPath F5000-AI-40 安全策略命中问题
- 0关注
- 0收藏,320浏览
问题描述:
已经创建了明细的安全策略情况下,通过防火墙日志发现流量还是命中兜底的permit any any的策略
源/目的安全域,源目的地址都符合编号35的策略,但是命中的还是编号为0的兜底策略
源的信息:1.1.1.1 TCP 端口58212 安全域HA
目的的信息:8.8.8.8 TCP 端口53 安全域HA
配置如下:
rule 35 name ǽDNS-TCP
action pass
counting enable
source-zone HA
source-zone Local
destination-zone HA
source-ip-host 1.1.1.1
source-ip-host 1.1.1.2
destination-ip-host 8.8.8.8
destination-ip-host 114.114.114.114
service-port tcp destination eq 53
application dns
rule 0 name 0
action pass
logging enable
counting enable
profile 0_IPv4
- 2025-01-09提问
- 举报
-
(0)
最佳答案
策略的目的应该是对应以下流量
两个源 IP 访问 两个目的IP的 53端口(TCP,UDP)
1.1.1.1 --- 8.8.8.8 --- tcp 53
1.1.1.1 --- 8.8.8.8 --- udp 53
1.1.1.1 --- 114.114.114.114 --- tcp 53
1.1.1.1 --- 114.114.114.114 --- udp 53
1.1.1.2 --- 8.8.8.8 --- tcp 53
1.1.1.2 --- 8.8.8.8 --- udp 53
1.1.1.2 --- 114.114.114.114 --- tcp 53
1.1.1.2 --- 114.114.114.114 --- udp 53
如果any策略匹配到了以上的流,那就不太对,
可以试着将 application dns 这个改成 service dns
你any策略的下记录了日志,可以通过日志看看any策略匹配的啥内容,
any策略 是对所以经过防火墙的日志的记录,也有可能流量并不是35的。
- 2025-01-09回答
- 评论(0)
- 举报
-
(0)
源目的都是同一个zone?
- 2025-01-09回答
- 评论(1)
- 举报
-
(0)
是的,都是HA
是的,都是HA
web界面看下顺序,从上往下的,你的明细策略是不是在any的上面
- 2025-01-09回答
- 评论(1)
- 举报
-
(0)
编号35的策略是在上面的
编号35的策略是在上面的
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明