De acuerdo

Caso de estudio: Prioridad e ID de política de Firewall

Última respuesta ag. 23, 2021 12:46:25 411 2 0 0 0

Descripción del problema

La configuración actual de las políticas es la siguiente:

policy interzone trust untrust outbound
policy 1
  action permit
  policy service service-set icmp
  policy service service-set http
  policy source address-set “172.21.15.0/24”

policy 2
  action permit
  policy service service-set http
  policy service service-set https
policy service service-set smtp
  policy source address-set "172.21.4.0/24"

policy 50
  action deny


El cliente controla el servicio cuando el tráfico es desde la zona confiable (trust zone) hacia zona no confiable (untrust zone). Ahora, el cliente agrega una nueva política de control de servicio a una nueva subred. La configuración se muestra a continuación:

policy 3
  action permit
  policy service service-set http
  policy service service-set https
policy service service-set smtp
  policy source address-set "172.21.16.0/24"


El cliente encuentra que la política configurada no coincide con su requerimiento. No hay control de servicio en la esta red. Encuentro que la configuración esta fuera de lo esperado:

policy interzone trust untrust outbound
policy 1
  action permit
  policy service service-set icmp
  policy service service-set http
  policy source address-set “172.21.15.0/24”

policy 2
  action permit
  policy service service-set http
  policy service service-set https
policy service service-set smtp
  policy source address-set "172.21.4.0/24"

policy 50
  action deny

policy 3
  action permit
  policy service service-set http
  policy service service-set https
policy service service-set smtp
  policy source address-set "172.21.16.0/24"

Proceso de manejo del problema:

La política 50 se encuentra antes de la política 3. Después de revisar la información del documento, se encontró que la prioridad de la política no está relacionada con su ID.


Solución:

Usar el comando “policy move 3 before 50” para revisar el problema. La configuración final es:

policy interzone trust untrust outbound
policy 1
  action permit
  policy service service-set icmp
  policy service service-set http
  policy source address-set “172.21.15.0/24”

policy 2
  action permit
  policy service service-set http
  policy service service-set https
policy service service-set smtp
  policy source address-set "172.21.4.0/24"

policy 3
  action permit
  policy service service-set http
  policy service service-set https
policy service service-set smtp
  policy source address-set "172.21.16.0/24"

policy 50
  action deny


  • x
  • Opciones:

Gustavo.HdezF
Admin Publicado 2021-8-12 17:43:16

 

También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Escenario de aplicación típica del firewall como cliente DNS

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente

Ver más
  • x
  • Opciones:

cardelher
HCIE VIP Author Publicado 2021-8-23 12:46:25
Excelente aporte para la configuración de firewalls, gracias por compartir
Ver más
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.