防火墙策略顺序
- 0关注
- 0收藏,659浏览
问题描述:
防火墙如果同时存在域间策略跟安全策略,那个优先,如果是先匹配安全策略在匹配域间策略,安全策略最后不是有一条默认拒绝所有吗,那是不是就是域间策略没有用了
- 2025-04-22提问
- 举报
-
(0)
最佳答案
安全策略的优先级高于域间策略。这意味着流量会首先尝试匹配安全策略,如果在安全策略中匹配到规则(包括默认的拒绝所有规则),则会根据该规则进行处理,不再继续匹配域间策略。因此,如果安全策略中存在默认的拒绝所有规则,且没有其他允许规则匹配流量,那么域间策略确实可能不会被用到。如果需要确保所有流量都被安全策略控制,可以添加一条拒绝所有流量的安全策略规则,并将其置于策略列表的最后。这样,任何未被其他安全策略规则允许的流量都将被拒绝,而不会继续尝试匹配域间策略。
- 2025-04-22回答
- 评论(0)
- 举报
-
(0)
域间策略有两种方式,一种是基于ACL的包过滤策略,一种是基于对象组的对象策略。两者同时配置时对象策略的优先级高于包过滤策略。
安全策略功能与对象策略功能在设备上不能同时使用,开启安全策略功能后,对象策略功能立即失效;当安全策略与包过滤策略同时配置时,由于安全策略对报文的处理在包过滤策略之前,报文与安全策略规则匹配成功后,不再进行包过滤处理。
安全策略与域间策略默认情况下只能一种生效,D022版本默认情况下域间策略生效,而在D032版本下则为安全策略生效。也可以通过命令查询当前设备生效的策略。
通过下面display命令查询:如果能查到命令“security-policy disable”则域间策略生效、没有查到任何命令则安全策略生效。
查询为域间策略生效:
[H3C]display current-configuration | include security-policy
security-policy disable
查询为安全策略生效:
[H3C]display current-configuration | include security-policy
- 2025-04-22回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论