zhiliao_Gixe
六段
1. 确认安全域绑定:将0口(192.160.0.0)加入Trust域,1口(192.168.1.0)加入Untrust域。
2. 配置域间包过滤(替代接口ACL):
system-view
packet-filter interzone trust untrust outbound
rule 1 deny icmp source 192.160.0.0 0.0.0.255 dest 192.168.1.0 0.0.0.255 icmp-type echo-request
rule 2 deny icmp source 192.168.1.0 0.0.0.255 dest 192.160.0.0 0.0.0.255 icmp-type echo-request
rule 3 permit ip
quit
注:确保策略优先级高于默认规则,无其他高优先级permit策略覆盖。
2. 配置域间包过滤(替代接口ACL):
system-view
packet-filter interzone trust untrust outbound
rule 1 deny icmp source 192.160.0.0 0.0.0.255 dest 192.168.1.0 0.0.0.255 icmp-type echo-request
rule 2 deny icmp source 192.168.1.0 0.0.0.255 dest 192.160.0.0 0.0.0.255 icmp-type echo-request
rule 3 permit ip
quit
注:确保策略优先级高于默认规则,无其他高优先级permit策略覆盖。
暂无评论
F1050(V7、无法接口 packet-filter)双网段互禁 ping 最终配置
网段:G0→192.168.0.0/24;G1→192.168.1.0/24
前提
两个接口分别划入两个不同安全域(例:G0→ZONE-A,G1→ZONE-B),不能同域;同安全域域间策略不生效,是策略无效首要原因。
plaintext
system-view
security-zone name ZONE-A
import interface GigabitEthernet 0/0
security-zone name ZONE-B
import interface GigabitEthernet 0/1
方案:域间绑定 ACL 过滤(该版本不支持接口 packet-filter,改用 zone-pair 调用 ACL,V7 通用)
1、高级 ACL,双向拒绝 ICMP 请求(ping),放行其他所有 IP 通信
plaintext
acl advanced 3000
# A→B禁止ping:拒绝ICMP请求报文
rule deny icmp source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 echo
# B→A禁止ping:反向也拦截
rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 echo
# 放行TCP/UDP等业务流量
rule permit ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
2、安全域间实例绑定 ACL(关键配置,替代接口 ACL)
plaintext
# ZONE-A去往ZONE-B调用ACL
zone-pair security source ZONE-A destination ZONE-B
packet-filter acl 3000 inbound
# ZONE-B去往ZONE-A调用同一条ACL
zone-pair security source ZONE-B destination ZONE-A
packet-filter acl 3000 inbound
备选:使用 security-policy 安全策略方式(新版 D022 + 推荐)
plaintext
security-policy ip
# A→B禁ping,全通业务
rule 1 name A-B-NO-PING
source-zone ZONE-A
destination-zone ZONE-B
source-address 192.168.0.0 mask 255.255.255.0
destination-address 192.168.1.0 mask 255.255.255.0
service icmp echo
action deny
rule 2 name A-B-ALLOW-OTHER
source-zone ZONE-A
destination-zone ZONE-B
source-address 192.168.0.0 mask 255.255.255.0
destination-address 192.168.1.0 mask 255.255.255.0
action permit
# B→A反向配置
rule 3 name B-A-NO-PING
source-zone ZONE-B
destination-zone ZONE-A
source-address 192.168.1.0 mask 255.255.255.0
destination-address 192.168.0.0 mask 255.255.255.0
service icmp echo
action deny
rule 4 name B-A-ALLOW-OTHER
source-zone ZONE-B
destination-zone ZONE-A
source-address 192.168.1.0 mask 255.255.255.0
destination-address 192.168.0.0 mask 255.255.255.0
action permit
排查策略不生效 4 个常见点
- 两个接口在同一个安全域:同域流量不走域间 / 安全策略,ACL 无效,必须拆分域H3C;
- ACL 只 deny echo,不要 deny icmp all(tracert 依赖 echo-reply,全拒会导致路由追踪失效);
- zone-pair inbound 固定写法,不要配 outbound;
- 已有全局全通安全策略优先级高于域间 ACL,删掉全通 rule。
查看验证命令
plaintext
display zone-pair security filter
display acl 3000
display security-policy hit
精简总结
无法接口挂 ACL→安全域拆分 + 域间实例绑定 ACL,双向 deny icmp echo 实现互不能 ping、业务互通。
暂无评论
F1050 V7 域间禁 Ping 不生效根治方案(版本不支持接口 packet-filter,只用域间策略 + 双向阻断 ICMP)
拓扑:
G0:192.160.0.0/24 → zone A
G1:192.168.1.0/24 → zone B
需求:A↔B 双向禁止互相 ping,正常业务放行;设备版本无法在接口下应用 ACL/packet-filter,只能域间策略管控。
一、先确认基础配置
1、接口划入安全域(必须先做)
system-view
# 自定义两个安全域(不要混用trust/untrust,方便管控)
zone name Zone0
zone-member interface GigabitEthernet 0/0
zone name Zone1
zone-member interface GigabitEthernet 0/1
查看校验:
display zone,确认接口在对应域内。2、域间默认策略先放行全业务(只拦 ICMP)
V7 域间策略必须双向配置:Zone0→Zone1、Zone1→Zone0,只配单方向 Ping 照样通(ICMP 请求 + 应答来回两条流量)H3C。
二、完整配置(直接复制,双向禁 ping)
# 1、创建高级ACL匹配ICMP(ping)
acl advanced 3000
rule deny icmp source 192.160.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule permit ip source 192.160.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
acl advanced 3001
rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.160.0.0 0.0.0.255
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.160.0.0 0.0.0.255
# 2、域间策略绑定ACL(关键:双向两个域间实例)
interzone policy source Zone0 destination Zone1
packet-filter acl 3000
interzone policy source Zone1 destination Zone0
packet-filter acl 3001
规则逻辑:先 deny ICMP,再 permit 所有 IP,其余 TCP/UDP 业务正常通行,仅干掉 ping。
三、排查策略不生效 4 个关键点
1、ASPF 导致 ICMP 回程自动放行(最常见坑)
V7 域间默认 ASPF 开启,ICMP 属于多通道协议,ASPF 自动放通 ping 应答包,禁 ping 失效:
# 进入两个域间视图关闭ICMP的ASPF探测
interzone policy source Zone0 destination Zone1
undo aspf apply all
interzone policy source Zone1 destination Zone0
undo aspf apply all
ASPF 开启后:源侧发 ICMP 请求,防火墙自动生成回程放行规则,域间 deny 无效H3C。
2、检查域间策略是否被默认策略覆盖
display interzone policy all
# 查看default默认策略,不能是permit ip any any
默认域间全放行会覆盖自定义 ACL,修改默认:
interzone policy default
packet-filter default deny
3、抓会话表验证是否命中拒绝
display session table verbose source 192.160.0 destination 192.168.1 icmp
# 无ICMP会话=策略生效;有会话=策略没匹配
4、Local 域不影响内网互 ping
内网互 ping 不走 Local 域,Local 是访问防火墙本机接口用,不用配置 local 策略H3C。
四、极简备选方案(不用 ACL,服务直接拒绝 ICMP)
新版 V7 支持基于服务的域间安全策略,无需 ACL:
security-policy ip
rule 1 drop source-zone Zone0 destination-zone Zone1 service icmp
rule 2 pass source-zone Zone0 destination-zone Zone1
rule 3 drop source-zone Zone1 destination-zone Zone0 service icmp
rule 4 pass source-zone Zone1 destination-zone Zone0
D022 及以后版本支持 security-policy,D012 老版本只能用 interzone+acl 方案。
五、补充:只禁 Echo 请求(保留 ICMP 差错报文,traceroute 可用)
如需放行 ICMP 差错、只禁 ping(type8 请求),ACL 精细化:
acl advanced 3000
rule deny icmp source 192.160.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 echo-request
rule permit ip any any暂无评论
在 H3C F1050 防火墙上,域间策略配置后未能限制 Ping,且无法使用接口 ACL,这通常是由 F1050 的 Comware V7 平台特性导致的。最核心的原因往往是“安全策略”与“域间策略”冲突或未正确生效。
你可以按照以下步骤进行排查和配置,即可实现不同网段间的禁 Ping:
1. 检查并切换策略模式(最关键的一步)
H3C Comware V7 平台的防火墙(如 F1050)存在“安全策略(Security Policy)”和“域间策略(Interzone/Object Policy)”两种模式。设备默认通常是“域间策略”生效。如果你在 Web 界面或命令行配置的是“安全策略”,但设备处于“域间策略”模式,那么你配置的策略将完全不会生效。
请在命令行界面执行以下命令进行检查:
1display current-configuration | include security-policy- 如果回显中有
security-policy disable:说明设备当前正在使用域间策略模式。你需要在域间策略中进行配置(见步骤2)。 - 如果没有任何回显:说明设备当前正在使用安全策略模式。你需要在安全策略中进行配置(见步骤3)。
2. 场景一:使用“域间策略”实现禁 Ping(默认模式)
如果确认是域间策略模式,你需要创建一条拒绝 ICMP 协议的规则,并将其应用在两个安全域之间。
假设你的 0 口在
Trust 域,1 口在 Untrust 域,配置如下:1<H3C> system-view
2# 1. 创建一条高级ACL,匹配ICMP协议(Ping的底层协议)
3[H3C] acl advanced 3000
4[H3C-acl-ipv4-adv-3000] rule 0 deny icmp
5[H3C-acl-ipv4-adv-3000] quit
6
7# 2. 创建域间策略,并引用该ACL
8[H3C] object-policy ip Trust-Untrust-Deny-Ping
9[H3C-object-policy-ip-Trust-Untrust-Deny-Ping] rule 1 deny
10[H3C-object-policy-ip-Trust-Untrust-Deny-Ping] rule 1 match acl 3000
11[H3C-object-policy-ip-Trust-Untrust-Deny-Ping] quit
12
13# 3. 将策略应用在 Trust 到 Untrust 的域间(双向均需配置才能彻底禁Ping)
14[H3C] zone-pair security source Trust destination Untrust
15[H3C-zone-pair-security-Trust-Untrust] object-policy apply ip Trust-Untrust-Deny-Ping
16[H3C-zone-pair-security-Trust-Untrust] quit
17
18[H3C] zone-pair security source Untrust destination Trust
19[H3C-zone-pair-security-Untrust-Trust] object-policy apply ip Trust-Untrust-Deny-Ping
20[H3C-zone-pair-security-Untrust-Trust] quit3. 场景二:使用“安全策略”实现禁 Ping(新模式)
如果你希望使用更灵活的“安全策略”模式,或者你的设备已经是该模式,配置如下:
1<H3C> system-view
2# 1. 切换到安全策略模式(如果当前是域间策略模式)
3[H3C] undo security-policy disable
4
5# 2. 创建安全策略,直接拒绝 Trust 和 Untrust 之间的 ICMP 流量
6[H3C] security-policy ip
7[H3C-security-policy-ip] rule name Deny-Ping-Trust-Untrust
8[H3C-security-policy-ip-0-Deny-Ping-Trust-Untrust] action deny
9[H3C-security-policy-ip-0-Deny-Ping-Trust-Untrust] source-zone Trust
10[H3C-security-policy-ip-0-Deny-Ping-Trust-Untrust] destination-zone Untrust
11[H3C-security-policy-ip-0-Deny-Ping-Trust-Untrust] service icmp
12[H3C-security-policy-ip-0-Deny-Ping-Trust-Untrust] quit
13
14# 3. 配置反向策略(Untrust 到 Trust)
15[H3C-security-policy-ip] rule name Deny-Ping-Untrust-Trust
16[H3C-security-policy-ip-1-Deny-Ping-Untrust-Trust] action deny
17[H3C-security-policy-ip-1-Deny-Ping-Untrust-Trust] source-zone Untrust
18[H3C-security-policy-ip-1-Deny-Ping-Untrust-Trust] destination-zone Trust
19[H3C-security-policy-ip-1-Deny-Ping-Untrust-Trust] service icmp
20[H3C-security-policy-ip-1-Deny-Ping-Untrust-Trust] quit4. 其他排查要点
如果策略配置正确但依然能 Ping 通,请检查以下两点:
- 策略匹配顺序:防火墙策略是从上往下匹配,匹配即停止。请检查在这条“禁 Ping”策略的上方,是否已经存在一条
action pass(允许)且范围更大的策略(例如any to any全放通)。如果有,禁 Ping 策略将永远不会被匹配到,你需要调整策略的优先级顺序。 - Local 域策略:如果你是想禁止防火墙自身接口被 Ping(例如 PC Ping 防火墙的 192.168.0.1 接口),除了上述域间策略,还需要检查是否有
source-zone Trust destination-zone Local的放通策略。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论