问
M9K怎么根据源目的IP地址,查看对应安全策略
1天前提问
- 0关注
- 1收藏,73浏览
一、先明确:你有两种查询方式
- 离线查询(直接查策略表):根据源 / 目的 IP,匹配策略里的地址对象 / 地址段
- 在线查询(会话 / 命中查询):根据实际流量,看命中了哪条策略
下面按优先级说明。
二、方式 1:直接查询策略(最常用)
1)命令行查询
bash
运行
# 1. 查看所有安全策略(快速定位)
display security-policy all
# 2. 按源/目的IP匹配策略(推荐)
display security-policy rule source-ip <源IP> destination-ip <目的IP>
# 示例:查源10.1.1.0/24 访问目的192.168.1.100的策略
display security-policy rule source-ip 10.1.1.0/24 destination-ip 192.168.1.100
- 这个命令会直接列出所有匹配源 / 目的 IP 的策略,按匹配顺序排序,优先级高的在前。
2)Web 界面查询
- 登录防火墙 Web 界面 → 策略 → 安全策略
- 在策略列表的高级筛选里:
- 源地址:输入你的源 IP / 网段
- 目的地址:输入你的目的 IP / 网段
- 点击 “查询”,即可过滤出所有匹配的策略。
三、方式 2:通过会话反查命中的策略(确认实际生效策略)
如果流量已经在跑,可以通过会话直接看命中了哪条策略,避免策略表和实际转发不一致。
1)命令行查询会话
bash
运行
# 查看包含源/目的IP的会话,看命中的策略ID
display session table source-ip <源IP> destination-ip <目的IP> verbose
- 在输出里找到
Policy ID字段,记下策略 ID(如Policy ID: 123)。
2)根据策略 ID 查策略详情
bash
运行
display security-policy rule id <策略ID>
- 可以直接看到这条策略的源 / 目的地址、动作(允许 / 拒绝)、服务、应用等完整信息。
四、高级场景:地址对象是网段 / 地址组怎么办?
如果策略里用的是地址对象(比如
addr_group_10.1.1.0/24),而不是直接写 IP,你需要先确认 IP 属于哪个对象:1)查看 IP 所属的地址对象
bash
运行
display ip address-group include <IP地址>
- 会列出所有包含该 IP 的地址组,然后再用上面的命令查询包含该地址组的策略。
2)批量查询所有匹配的策略
bash
运行
# 查源地址组为addr_group_10.1.1.0/24的策略
display security-policy rule source-address-group addr_group_10.1.1.0/24
五、常见坑与注意事项
- 策略匹配顺序问题:防火墙按策略列表从上到下匹配,命中即停止,所以即使后面有更宽松的策略,也不会被命中。
- 地址对象重叠:如果多个地址组都包含你的 IP,需要确认是哪个地址组被策略引用了。
- NAT 转换影响:如果流量经过 NAT(源 NAT / 目的 NAT),会话里的源 / 目的 IP 是转换后的 IP,需要用转换后的 IP 去查询策略。
- 虚拟系统(VSYS)影响:如果防火墙分了 VSYS,需要先切换到对应 VSYS 下查询:bash运行
switch vsys <vsys-name>
六、一键排查命令组合
你可以直接复制下面的命令,替换 IP 后执行,一次性查完所有相关信息:
bash
运行
# 1. 查所有匹配源/目的IP的策略
display security-policy rule source-ip 10.1.1.10 destination-ip 192.168.1.100
# 2. 查包含该IP的会话,看命中的策略ID
display session table source-ip 10.1.1.10 destination-ip 192.168.1.100 verbose
# 3. 查IP所属的地址对象
display ip address-group include 10.1.1.10
display ip address-group include 192.168.1.100
在 H3C M9000(M9K)系列防火墙上,想要根据源目的 IP 地址查看对应匹配了哪条安全策略,通常有两种最有效的方法:通过会话表反查和使用调试命令实时抓取。
以下是具体的操作步骤:
方法一:通过查看会话表(最推荐,影响最小)
防火墙是基于“会话”进行转发的。只要业务流量(比如一次 Ping 或网页访问)正在通过防火墙,会话表中就会记录该流量匹配的安全策略 ID。
- 在客户端发起访问:让源 IP 去访问目的 IP(例如 Ping 一下,或者访问某个端口),确保产生流量查看详细的会话表:在防火墙命令行中输入以下命令(将 IP 替换为实际的业务 IP):1display firewall session table source-ip <源IP> destination-ip <目的IP> verbose
- 注:加上
verbose参数可以显示更详细的信息。 - 提取策略 ID:在输出的信息中,找到
Security-policy或Policy字段,后面跟随的数字就是该流量匹配的安全策略 ID。 - 查看策略具体内容:拿到 ID 后,使用以下命令查看该策略的具体配置(源目的区域、动作等):
1display security-policy id <策略ID>
方法二:使用调试命令实时抓取(适合排查不通的流量)
如果流量不通(没有建立会话),或者你想看流量到底匹配了哪条策略(甚至是被默认策略拒绝),可以使用调试功能。
- 开启安全策略报文调试:建议带上具体的源目 IP,否则调试信息会非常多,影响设备性能。
1debugging security-policy packet ip source <源IP> destination <目的IP> - 开启终端显示:
1terminal debugging - 触发流量:再次让源 IP 访问目的 IP。
- 查看匹配结果:终端屏幕上会实时打印出报文匹配的策略信息,通常会显示
Match security policy ID: xxx。 - 关闭调试(非常重要!):排查结束后,务必立刻关闭调试,以免消耗设备 CPU:
1undo debugging all
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论