适用防火墙透明部署但是网关有不是在统一一台设备上时,策略匹配规则;
情景一:
源地址172.16.1.2ping 目的地址192.168.1.2
数据流向如下
匹配策略
区域:Trust-untrust
匹配源地址 :any
匹配目的地址:192.168.1.2
其余策略不写
测试:
此时防火墙只有一条策略,只能实现设备4通设备8的地址,不能实现设备8通设备4;
测试:
要实现源192.168.1.2ping通172.16.1.2
增加一条策略
区域:untrust-trust
源地址:192.168.1.2
目地地址:any
测试:
此时实现双向双通了,其余地址通过三层通讯都采用此案例:
案例二:
源地址172.16.1.2ping192.168.1.31
数据流如下:
匹配策略
区域:trust-untrust
源地址:any
目的地址:192.168.1.31
测试:
按照设计逻辑发现不通,
分析数据流向和策略;
172.16.1.2ping192.168.1.31时;
设备4发包(源地址172.16.1.2,目的地址为192.168.1.31);
流量到设备2(源地址172.16.1.2,目的地址为192.168.1.31),在设备上抓包发现没有回包;
流量到达防火墙,在防火墙上查询会话有会话信息,说明设备4发起的流量到达防火墙;
在设备5上做抓包信息查看,根据TCP/IP,二三层转发逻辑,设备4的ping包到达设备5时,设备5根据二层转发逻辑替换源和目的mac,源IP和目的IP不变,从设备再转发到防火墙;
不通原因:
由于源地址172.16.1.2目地地址192.168.1.31的数据到设备5时,设备5会转发给192.168.1.31,但由于192.168.1.31这个地址在防火墙trust区域,所以源地址172.16.1.2目地地址192.168.1.31的流量
会再次转发给防火墙,但是由于防火墙Utrust-trust
这条策略中并没有允许源地址172.16.1.2通过所以防火墙拒绝(源地址172.16.1.2目地地址192.168.1.31区域为Utrust-trust )的流量通过,所以数据不通;
解决方案
修改策略2:
区域:Utrust-trust
源地址:172.16.1.2
目的地址:any
测试:
设备4可以平通设备3了;
不过此时设备3还是不能ping设备4
原因是trust-untrust的策略中允许的目的地址没有允许172.16.1.2 通过,添加地址后即可
测试: