j'ai compris
Entreprises
Communauté Forums Sécurité
【partager de cas】ID de ...

【partager de cas】ID de politique de pare-feu et la priorité

publié il y a  2019-6-19 12:15:10 202 0 3 0 0
Tout afficher 1#

【Description du problème】

Le paramètre de la politique actuel est le suivant:


policy interzone trust untrust outbound

policy 1

  action permit

  policy service service-set icmp

  policy service service-set http

  policy source address-set “172.21.15.0/24”


policy 2

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.4.0/24"


policy 50

  action deny


Le client contrôle le service lorsque le trafic provient de la zone de confiance vers la zone non fiable. Maintenant, le client ajoute une nouvelle politique pour contrôler le service du nouveau sous-réseau. La configuration est comme ci-dessous:

policy 3

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.16.0/24"


Le client constate que la stratégie configurée ne correspond pas à ses exigences. Aucun contrôle de service n'a lieu dans ce réseau. Je trouve que la configuration est inattendue:

policy interzone trust untrust outbound

policy 1

  action permit

  policy service service-set icmp

  policy service service-set http

  policy source address-set “172.21.15.0/24”


policy 2

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.4.0/24"


policy 50

  action deny


policy 3

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.16.0/24"

Alarm Information


Processus de manutention 

La stratégie 50 est antérieure à la stratégie 3. Après avoir recherché les informations du document, il a été constaté que la priorité de la stratégie n’était pas liée à son ID de stratégie. 

Cause première 


Solution 

Solution: Utilisez la commande «policy move 3 before 50» pour réviser le problème. Le réglage final est:


policy interzone trust untrust outbound

policy 1

  action permit

  policy service service-set icmp

  policy service service-set http

  policy source address-set “172.21.15.0/24”


policy 2

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.4.0/24"


policy 3

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.16.0/24"


policy 50

  action deny


  • x
  • Standard:

Aime (3) N'aime pas (0) Favoris(0) Partager Rapport
Précédent: 【FAQ】Vérification de la configuration NGFW Hot Standby
Prochain: [Documentation de réseau d'entreprise] AnyOffce V2R2C10 Examen de configuration typique
Retour à la liste

Commentaire

Avancé
B Color Image Link Quote Code Smilies
Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier
Site Web Huawei Assistance À propos de Huawei Politique de confidentialité Accord utilisateur Conditions d'utilisation Cookies Préférences Cookies

Contactez-nous: e_online@huawei.com Copyright © 2021 Huawei Technologies Co., Ltd. Tous droits réservés.

APP

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.