问

华三F1020防火墙兜底策略怎么查看

4小时前提问

0关注
0收藏，56浏览

zhiliao_MfgTDY

zhiliao_MfgTDY 零段

粉丝：0人关注：0人

问题描述：

华三F1020防火墙兜底策略怎么查看

组网及组网描述：

华三F1020防火墙兜底策略怎么查看

5 个回答

按时间按赞数

zhiliao_Gixe

zhiliao_Gixe 四段

粉丝：2人关注：9人

查看F1020防火墙的兜底策略，即查看是否存在并配置了域间策略的默认动作（`rule pass` 或 `rule deny`），以及是否配置了安全域间默认包过滤。

排查步骤与命令：

1. 查看域间策略的默认动作：
display security-policy ip
查看策略列表末尾，是否存在 `rule` 编号非常大（如 `65535`）的策略，其动作（`action`）为 `permit` 或 `deny`，这通常是手工配置的兜底策略。

2. 查看安全域间默认包过滤状态（关键）：
display zone-pair security
查看所有安全域间（`source-zone` 与 `destination-zone`）的 `default packet-filter` 状态。如果显示为 `permit`，则表示该域间方向默认允许；如果为 `deny`，则表示默认拒绝，这是系统级的兜底行为。

3. 查看具体域间策略（可选）：
如果知道具体的源/目的安全域，可以使用更精确的命令查看：
display security-policy ip source <源安全域> destination <目的安全域>

总结：兜底策略的查看主要依赖于以上两个命令。通常，未配置任何具体规则时，防火墙的默认行为由 `zone-pair security` 中的 `default packet-filter` 决定，默认为 `deny`（拒绝）。

暂无评论

刘浩存

刘浩存七段

粉丝：8人关注：1人

在 H3C F1020 防火墙里，我们通常说的“兜底策略”就是缺省策略 (Default Policy)。它位于所有安全策略的最后，用来处理没有被任何明确规则匹配到的流量。

查看规则动作：在系统视图下执行 display security-policy ip，然后在输出中查找 Default action 字段。如果显示为 Drop 或 Deny，则表示未匹配的流量会被拒绝；如果显示为 Pass 或 Permit，则表示放行。一般而言，为了安全考虑，缺省策略通常被设置为拒绝。
查看策略总数：执行 display security-policy | include total 可以显示当前配置的安全策略总数，从而侧面了解策略的规模。
查看安全域间规则：你的防火墙可能还沿用较老的安全域间策略。可以执行 display zone-policy security 来查看相关配置。关于安全域间的默认动作，可以参考以下说明：
- 同一安全域内，缺省为 允许 (Permit)
- 高优先级安全域访问低优先级安全域，缺省为 允许 (Permit)
- 低优先级安全域访问高优先级安全域，缺省为 拒绝 (Deny)
- 与Local域互访，缺省为 允许 (Permit)
- 请注意：安全域优先级是另一种策略模式，默认状态下是关闭的。如果未开启优先级，那么所有安全域之间的缺省动作均为拒绝（Deny）