H3C防火墙新建安全策略时默认动作是deny(拒绝),这个默认行为本身无法直接修改为permit。
不过,要达到“默认放行”的效果,可以通过配置一条全通策略来实现。
这是最直观的方法。
登录防火墙Web管理页面,进入 “策略” > “安全策略” > “安全策略” 。
点击 “新建” 按钮。
源安全域:选择 any
目的安全域:选择 any
动作:选择 “允许”
其他选项保持默认
点击确认完成创建。
(重要) 将这条新创建的“全通”策略的优先级移动到列表的最下方。因为安全策略是按顺序匹配的,将它放在最后,可以确保它只作为“兜底”规则,不影响更精细的拒绝策略。
如果你习惯使用命令行,可以参照以下步骤:
进入系统视图。
进入IPv4安全策略视图:
这条命令创建了一条不指定任何源/目的安全域的规则,效果等同于匹配所有区域。
理解“隐式拒绝”:H3C防火墙(特别是V7版本)遵循“白名单”机制,即没有明确放行的流量默认都会被拒绝。因此,配置全通策略是符合设计逻辑的常见做法。
注意版本差异:部分较老的V5版本防火墙,其默认行为可能与V7不同。如果你使用的是非常古老的型号,建议查阅对应版本的官方文档。
关于“域内”策略:对于同一个安全域内不同接口间的流量,有一条专用命令可以修改默认行为:
这条命令仅影响同域内流量,与不同安全域之间的策略无关。
暂无评论
一、先分清两个完全不同的 “默认”(关键区分,别混淆)
1. Web 新建策略弹窗里的单选框默认(你截图这个:新建规则默认选中「拒绝」)
底层限制:Comware V7 防火墙无全局开关修改新建页面默认选中项
官方固件固定逻辑:新建单条安全策略规则时,action 默认内置为 drop(拒绝),Web 界面没有配置项、命令行没有全局参数能把弹窗默认改成 “允许”。
每次新建只能手动点选「允许」,无法一键永久修改页面默认单选。
2. 全局缺省策略(所有流量没匹配任何自定义规则时的兜底动作)
这个是可以通过命令行修改的,很多人会混淆这两点:
新建单条规则默认动作:改不了页面弹窗预选;
全局兜底默认流量动作:可配置放行 / 阻断。
二、命令行:修改全局兜底缺省策略(未匹配任何规则的流量)
如果你的需求是「所有没匹配到策略的流量默认放行」,用这条配置:
shell
system-view
security-policy
# 全局兜底流量默认允许(默认是drop丢弃)
default rule action pass
恢复默认阻断:
shell
system-view
security-policy
default rule action drop
Web 界面路径(V7 新版 Web):
安全策略 → 策略总览 → 右上角「缺省规则」→ 动作改为允许H3C。
三、替代方案:解决每次新建都要手动选允许的痛点
方案 1:复制已有允许策略新建(最高效)
先建好一条动作 = 允许的标准策略;
后续新增流量规则,直接选中这条策略点复制;
复制出来的新策略会继承原策略「允许」动作,不用重复勾选。
方案 2:命令行批量创建允许规则(适合批量加策略)
shell
system-view
security-policy
# 创建规则,直接指定pass允许,无需手动改
rule name Trust-LAN-Pass source-zone trust destination-zone lan action pass
方案 3:模板 / 策略组预配置(多策略复用)
固定常用源 / 目的安全域模板,模板内动作统一设为允许,新建时直接调用模板,自动带入允许动作。
四、补充:同域 / 跨域流量全局默认放行(和安全策略无关)
如果是安全域之间无策略时直接通:
shell
# 不同安全域之间流量默认放行(不推荐正式环境)
security-zone inter-zone default permit
# 同一安全域内接口互访默认放行
security-zone intra-zone default permit
注意:这条是域间底层转发开关,和安全策略规则是两套体系,不改变新建策略弹窗默认选项。
总结
你截图「新建弹窗默认选中拒绝」:没有任何设置能永久改成默认选中允许,固件底层固定;日常用「复制已有允许策略」最省事;
全局兜底流量(没匹配任何策略)默认放行:可通过 default rule action pass 修改;
批量建策略推荐用命令行直接带 action pass 创建,省去页面勾选步骤。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论