问题描述
web开启了上网行为管理功能,但是开启过后客户测试业务全部中断
过程分析
查看上网行为管理的配置,选择的阻断选择的网络其他全放行,所以不存在所有流量都不通的情况
因此找了一条测试流量,写好了acl xxxx
debug ip packet acl xxxx
debug ip info acl xxxx
测试发现异常日志
可以看到该报文是被设备的安全域模块阻塞丢弃掉了
于是display security-zone 发现WAN口和内网口全部加入了安全域
按照防火墙的逻辑再次查看安全策略
可以看到没有安全策略因此所有跨安全域的流量都会被阻断
查看日志发现,在web页面点击开启上网行为管理功能时候,设备会自动启用安全域,将现网的WAN口全加入untrust域,其他口加入trust域
解决方法
根据上述原理,只要在命令行添加安全策略即可
具体配置按照官网安全策略配置指导以及结合现场组网业务情况规划即可