防火墙知识--安全策略故障排查
防火墙
如何设置安全策略的源和目的IP地址 - 华为防火墙 安全策略精要 - 华为
防火墙(Firewall)是一种网络安全设备,根据预定的安全策略监视、过滤和控制传入和传出网络的流量,保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。
安全策略
安全策略是一组用于保护网络的规则。为了对进出网络的访问行为进行控制,保护特定网络免受“不信任”网络的攻击,同时允许两个网络之间进行合法通信,管理员可以在系统中配置安全策略。安全策略是设备的核心安全功能,它对通过设备的数据流进行检验,放行符合安全策略的合法流量,阻断非法流量,实现访问控制,保证网络安全。
创建安全策略
安全策略是由匹配条件和动作组成的规则。设备接收到报文后,将报文的属性与安全策略的匹配条件进行匹配。如果所有条件都匹配,则此报文成功匹配安全策略,设备按照该安全策略的动作处理这个报文及其后续双向流量。
安全策略匹配规则
每条安全策略包含多个匹配条件,各个匹配条件之间是“与”的关系,流量与各个条件必须全部匹配,才认为该流量匹配这条安全策略。
一个匹配条件中可以设置多个值,多个值之间是“或”的关系,只要流量匹配了其中任意一个值,就认为匹配了这个条件。
配置先精确后宽泛。当配置多条安全策略规则时,安全策略列表默认是按照配置顺序排列的,越先配置的安全策略规则位置越靠前,优先级越高。
安全策略过滤机制
对于同一条数据流,只需在访问发起的方向上配置安全策略,反向流量无需配置安全策略。即首包匹配安全策略,通过安全策略过滤后建立会话表,后续包直接匹配会话表,无需再匹配安全策略,提高业务处理效率。
安全策略规划原则
使用安全区域划分网络。
遵循最小授权原则。
策略顺序很重要,先精确后宽泛,先常用后少用。
出入方向的流量都要识别和控制。
定期审计和优化安全策略。
NAT开放安全策略
在安全策略中指定的源目的IP地址,就是业务流量最开始的源IP地址和最终的目的IP地址。
源NAT、目的NAT、NAT server开放安全策略 - 华为防火墙 安全策略精要 - 华为
防火墙不通故障排查
思路:
报文是否上到防火墙?
报文是否被防火墙阻断?---报文被防火墙阻断不会有会话表
报文是否到防火墙步骤:
查看是否有会话表---要写明源目的地址,另外要加verbose才能显示更多信息有会话说明报文上到了防火墙
display session table ipv4 source-ip 172.31.0.1 destination-ip 172.31.0.4 ver
查看报文是否到达防火墙
debug ip packet acl 3000【debug报文很多 ,一般要求后面写明细ACL匹配报文(写明源目的地址和协议)】
抓包查看
报文是否到防火墙被阻断步骤:
检查安全策略是否放通报文-正常 permitted)-阻断 denied
debugging security-policy packet ip acl
Debug报文很多 ,一般要求后面写明细ACL匹配报文(写明源目的地址和协议)
检查ASPF策略是否阻断报文
debugging aspf packet {acl}
Tips:
查看设备是否开启debug开关,debug完成后关闭debug开启
<H3C>display debugging
Security-policy packet ip acl 3000 debugging switch is on
<H3C>undo terminal debugging
The current terminal is disabled to display debugging logs.
无debug信息:
debug ip packet没有信息说明报文没有上到防火墙
有vpn-instance的需要在ACL里加vpn-instance
debug信息多:
尽量写明ACL
关闭安全策略日志的显示
info-center source
FILTER monitor deny