1. 检查安全策略配置
执行 display firewall-policy rule all,确认是否存在允许内部用户访问外部的策略(如源地址为内部网段、目的地址为外部、动作允许)。若策略缺失或被覆盖,会导致断网。
2. 确认策略动作与规则
若配置“审计恶意IP”,需确保动作为 permit(仅记录日志,不阻断);若需阻断,需明确允许其他正常流量。执行 display firewall-policy rule all 检查规则顺序(H3C防火墙按规则顺序匹配,优先匹配更精确规则)。
3. 检查默认策略
防火墙默认可能拒绝所有流量,需确保存在允许内部网段访问外部的基础策略(如 firewall-policy rule 10 action permit source-zone trust destination-zone untrust source-address 192.168.1.0 24 destination-address any)。
4. 审计策略配置
针对恶意IP的审计策略需单独配置日志记录,不阻断流量:
firewall-policy rule audit-malicious
action permit
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
destination-address 恶意IP 32
service any
log enable
关键命令:
display firewall-policy rule all:查看所有安全策略规则。
display current-configuration:确认当前配置是否存在冲突。
firewall-policy rule 10 action permit source-zone trust destination-zone untrust source-address 192.168.1.0 24 destination-address any:允许内部网段访问外部所有流量。
display firewall-log:查看审计日志是否生效。
核心问题:新策略未允许正常流量或规则动作错误(如 deny 覆盖允许策略),需优先确保基础允许策略存在。
一、先紧急恢复网络(命令行最快)
Console/SSH 登录,全局视图:
bash
运行
system-view
# 1. 删掉你刚加的那条“恶意IP策略”(假设名字/编号未知,先看)
display firewall-policy rule all
# 找到你新建的那条,例如 rule 15、名字 audit-malicious,删掉:
undo firewall-policy rule 15
# 或按名字删:
undo firewall-policy rule name audit-malicious
# 2. 确保有一条“全网放行”基础策略(必须有!)
firewall-policy rule 10
action permit
source-zone trust
destination-zone untrust
source-address any
destination-address any
service any
做完这步,内网马上能上网。
二、为什么一配就断网(典型 3 个坑)
动作写成 deny:你本意是 “审计”,结果选了 “拒绝”,直接拦了所有匹配流量。
规则顺序放最前面:新规则编号小、排在最前,优先匹配、直接拒绝,后面的允许策略根本不生效。
没有基础放行策略:防火墙默认 “隐式拒绝”,必须有一条 permit 所有内网→外网的策略兜底。
三、正确配置:只审计、不阻断恶意 IP(Web + 命令行)
目标
内网所有用户访问 “恶意 IP 段” 时,只记录日志、不影响上网;正常流量不受影响。
1)先建 “恶意 IP” 地址对象(Web)
对象 → 地址 → 新建地址组:
名称:Malicious_IP
类型:IPv4
成员:把要审计的恶意 IP / 段加进去(如 1.1.1.1/32、2.2.2.0/24)
2)配置安全策略(关键:permit+log enable)
Web 界面
策略 → 安全策略 → 新建:
名称:Audit_Malicious
源安全域:trust
目的安全域:untrust
源地址:内网网段(如 192.168.0.0/24) 或 any
目的地址:选刚才建的 Malicious_IP
服务:any
动作:必须选 Permit(允许)
高级 → 开启:日志记录(Log enable)
编号 / 顺序:放在 “全网放行策略(rule10)之后”(例如编号 20)
命令行(直接复制)
bash
运行
# 1. 定义恶意IP地址组
address-group Malicious_IP
ip 1.1.1.1 255.255.255.255
ip 2.2.2.0 255.255.255.0
# 2. 审计策略(允许+日志,编号20,在放行策略之后)
firewall-policy rule 20
action permit
source-zone trust
destination-zone untrust
source-address 192.168.0.0 24 // 内网网段
destination-address group Malicious_IP
service any
log enable
# 3. 确认顺序:rule10(放行)在前,rule20(审计)在后
display firewall-policy rule all
四、验证是否生效
bash
运行
# 看策略是否存在、动作是否permit
display firewall-policy rule 20
# 看日志是否有访问恶意IP的记录
display firewall-log | include Malicious_IP
五、完整策略顺序(必遵守)
rule 10:permit 内网→外网 any(基础放行)
rule 20:permit 内网→恶意 IP + log(审计)
其他策略……
最后:隐式拒绝(默认)
暂无评论
第一步:紧急恢复网络
- 回退/删除故障策略:立即登录 F1050 的管理界面,找到刚刚配置的访问控制/安全策略,将其禁用或直接删除。
- 检查全局策略:确认是否存在默认的
Deny any any且位于策略列表顶部的规则。如果有,请将其移至底部或删除。 - 验证连通性:确保内部员工网络恢复正常。
第二步:正确配置“仅审计不阻断”策略
- 创建恶意 IP 地址对象:
- 进入“对象管理” -> “地址对象”,新建一个包含所有恶意 IP 的地址组(例如命名为
Malicious_IP_List)。
- 进入“对象管理” -> “地址对象”,新建一个包含所有恶意 IP 的地址组(例如命名为
- 配置安全策略(核心步骤):
- 进入“安全策略” -> “IPv4 策略”。
- 源区域/目的区域:选择对应的内网到外网区域。
- 源地址:Any(或指定的内网网段)。
- 目的地址:选择刚才创建的
Malicious_IP_List。 - 服务:Any。
- 动作(Action):必须选择“允许(Permit/Accept)”。(⚠️ 绝对不要选 Deny,否则会导致断网)
- 开启日志与审计功能:
- 在该策略的“高级选项”或“日志记录”中,勾选 “开启会话日志”、“开启流量统计” 以及 “开启行为审计”。
- 这样配置后,当内网用户访问这些恶意 IP 时,流量会被正常放行,但设备会在后台生成详细的访问日志供后续审计分析。
第三步:完善基础放通策略(防断网保障)
- 策略 A(拦截恶意IP):源(Any) -> 目的(Malicious_IP_List) -> 动作(Permit) -> 开启审计。(放在最上面)
- 策略 B(放通正常上网):源(内网区域) -> 目的(Any) -> 动作(Permit) -> NAT 转换。(放在策略 A 下面)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论