防火墙查询不到ospf策略会话
- 0关注
- 0收藏,80浏览
一、根本原因(一句话讲清)
OSPF 属于 “控制协议”,默认不触发会话表
防火墙默认对 OSPF (协议号 89)、BGP、DHCP、BFD 这类控制报文跳过会话表,只做策略放行 / 丢弃,不生成会话记录。
能看到策略匹配日志:因为确实过了策略检查、命中允许规则;
会话表为空:因为系统没为它建会话(属于正常行为)。
华为 / 华三特有:必须开启 firewall packet-filter basic-protocol enable 才会受控
没开这条命令前,OSPF不受安全策略控制、不进会话表;开了才会被策略管控并生成会话。
OSPF 单播 / 组播差异
Hello/LSU/LSA:组播 (224.0.0.5/6),多数防火墙不建会话;
DD/LSR/LSAck:单播,才可能被策略管控、生成会话。
二、快速排查(按顺序做,3 分钟定位)
1)先确认是否开启 “基础协议受控”(华为 / 华三必查)
bash
运行
# 华为
display firewall packet-filter basic-protocol
# 华三
display firewall packet-filter basic-protocol enable
显示 disable / 关闭 → OSPF 不受策略控制、不会建会话(日志能匹配但无会话);
✅ 解决:全局开启
bash
运行
# 华为
firewall packet-filter basic-protocol enable
# 华三
firewall packet-filter basic-protocol enable
2)检查 OSPF 报文是否被放行(协议号 89 + 组播)
OSPF 需要放行:
协议号 89(OSPF);
组播 224.0.0.5、224.0.0.6;
Local→外网 / 内网双向策略(防火墙自身发 OSPF)。
bash
运行
# 查看策略是否允许OSPF(协议89)
display security-policy rule all | include 89
# 查看Local区域策略(关键!防火墙自身OSPF)
display security-policy interzone local [untrust/trust]
无策略 → 丢弃、日志不命中;
有策略但仅单向 → 邻居不 Full、单播 DD 报文被丢;
✅ 正确策略:Local↔对端区域 双向允许 协议 89 + 组播。
3)查会话表(必须带协议 89 过滤)
普通 display session table 看不到,必须过滤协议号 89:
bash
运行
# 华为
display firewall session table verbose | include proto=89
# 华三
display session table | include 89
# FortiGate
diagnose sys session list | grep proto=89 -A 15
能看到 → 正常;
看不到 → 要么没开 basic-protocol,要么只有组播 Hello(不建会话)。
4)确认 OSPF 邻居状态(是否 Full)
bash
运行
display ospf peer
FULL → 邻居正常、协议报文通;
INIT/2-WAY → 仅 Hello 通、DD 单播被策略拦截(需检查 Local 双向策略)。
三、为什么 “有匹配日志但无会话”(再通俗点)
日志:策略模块记录了 “允许通过”;
会话:转发模块仅对 “数据流量” 建表;
OSPF:默认是控制流量,不进转发会话表,只过策略。
四、最终解决方案(一步到位)
全局开启基础协议受控(华为 / 华三):
bash
运行
firewall packet-filter basic-protocol enable
配置 Local 双向策略(允许 OSPF 协议 89 + 组播 224.0.0.5/6);
查看会话表时必须过滤 proto=89;
验证邻居状态为FULL。
五、常见误区
❌ 以为 “有策略就一定有会话” → 控制协议默认不建会话;
❌ 只配单向策略 → DD 单播不通、邻居卡在 2-WAY;
❌ 忘了 Local 区域策略 → 防火墙自身发的 OSPF 被丢。
1. 检查安全策略:确认是否放通OSPF协议(协议号89),执行display security ip policy all,查看是否有允许协议89的策略条目。
2. 验证OSPF邻居:执行display ospf peer brief,确认OSPF邻居关系是否正常建立,若未建立先排查路由层面问题。
3. 查看会话表:执行display firewall session table protocol ospf,确认是否存在OSPF会话条目,若无则为策略或协议报文转发异常。
4. 报文拦截排查:谨慎使用debugging firewall packet-filter basic 89,确认OSPF报文是否被安全策略拦截。
核心原因多为安全策略未明确放通OSPF协议(协议号89),导致控制平面报文无法生成会话条目。
暂无评论
一、 为什么会出现“有日志但无会话”?
- 会话已超时老化(最常见)
会话表是动态且转瞬即逝的。当连接长时间无流量经过时,会话会因达到老化时间而被自动删除(例如 TCP 默认 3600秒,UDP 默认 60秒)。由于请求可能已经结束或中断,您在查询时该会话已被刷掉,但安全策略的匹配日志依然保留在内存或日志服务器中。 - 回程包未匹配会话(反向拒绝)
在某些场景下,回程数据包到达防火墙时找不到对应的正向会话,会被当成新连接处理。如果此时触发了反向拒绝,系统会记录安全策略拒绝日志,但由于连接未能成功建立,因此不会生成完整的会话表项。 - 查询过滤条件不精准
防火墙只记录了 IP 地址等五元组信息,并不会直接记录域名。如果您在搜索会话时使用域名而非确切的公网 IP,或者源/目的端口指定错误,自然无法查到结果。
二、 快速验证与排查命令
使用包含关键字的命令,检查是否存在允许该区域通信的策略:
display security-policy rule | include <源区域> <目的区域>如果是偶发问题,可以在触发业务的同时,在命令行实时观察会话的建立过程:
display session table verbose | include <目标IP>三、 解决方案与优化建议
- 补全双向安全策略:确保不仅配置了去程的允许策略,也放通了回程策略(例如从 untrust 到 trust 的回程),这是最稳妥的保障方式。
- 确保 NAT 转换生效:如果跨域访问涉及 SNAT/DNAT,必须确保 NAT 策略正确应用。地址转换失败会导致后续的会话匹配失效。
- 延长会话老化时间:如果业务需要长连接且容易断开,可适当延长 TCP 会话的老化时间以减少会话被误删的概率。
- 开启辅助日志追踪:如果常规会话列表依然查不到,建议在防火墙上开启 DNS 审计功能或 NAT 日志(
nat log enable/nat log flow-begin),通过 NAT 日志或 DNS 解析日志来还原真实的访问轨迹。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论