【Description du problème】
Le paramètre de la politique actuel est le suivant:
policy interzone trust untrust outbound
policy 1
action permit
policy service service-set icmp
policy service service-set http
policy source address-set “172.21.15.0/24”
policy 2
action permit
policy service service-set http
policy service service-set https
policy service service-set smtp
policy source address-set "172.21.4.0/24"
policy 50
action deny
Le client contrôle le service lorsque le trafic provient de la zone de confiance vers la zone non fiable. Maintenant, le client ajoute une nouvelle politique pour contrôler le service du nouveau sous-réseau. La configuration est comme ci-dessous:
policy 3
action permit
policy service service-set http
policy service service-set https
policy service service-set smtp
policy source address-set "172.21.16.0/24"
Le client constate que la stratégie configurée ne correspond pas à ses exigences. Aucun contrôle de service n'a lieu dans ce réseau. Je trouve que la configuration est inattendue:
policy interzone trust untrust outbound
policy 1
action permit
policy service service-set icmp
policy service service-set http
policy source address-set “172.21.15.0/24”
policy 2
action permit
policy service service-set http
policy service service-set https
policy service service-set smtp
policy source address-set "172.21.4.0/24"
policy 50
action deny
policy 3
action permit
policy service service-set http
policy service service-set https
policy service service-set smtp
policy source address-set "172.21.16.0/24"
Alarm Information
Processus de manutention
La stratégie 50 est antérieure à la stratégie 3. Après avoir recherché les informations du document, il a été constaté que la priorité de la stratégie n’était pas liée à son ID de stratégie.
Cause première
Solution
Solution: Utilisez la commande «policy move 3 before 50» pour réviser le problème. Le réglage final est:
policy interzone trust untrust outbound
policy 1
action permit
policy service service-set icmp
policy service service-set http
policy source address-set “172.21.15.0/24”
policy 2
action permit
policy service service-set http
policy service service-set https
policy service service-set smtp
policy source address-set "172.21.4.0/24"
policy 3
action permit
policy service service-set http
policy service service-set https
policy service service-set smtp
policy source address-set "172.21.16.0/24"
policy 50
action deny