【partager de cas】ID de politique de pare-feu et la priorité

64 0 3 0

【Description du problème】

Le paramètre de la politique actuel est le suivant:


policy interzone trust untrust outbound

policy 1

  action permit

  policy service service-set icmp

  policy service service-set http

  policy source address-set “172.21.15.0/24”


policy 2

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.4.0/24"


policy 50

  action deny


Le client contrôle le service lorsque le trafic provient de la zone de confiance vers la zone non fiable. Maintenant, le client ajoute une nouvelle politique pour contrôler le service du nouveau sous-réseau. La configuration est comme ci-dessous:

policy 3

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.16.0/24"


Le client constate que la stratégie configurée ne correspond pas à ses exigences. Aucun contrôle de service n'a lieu dans ce réseau. Je trouve que la configuration est inattendue:

policy interzone trust untrust outbound

policy 1

  action permit

  policy service service-set icmp

  policy service service-set http

  policy source address-set “172.21.15.0/24”


policy 2

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.4.0/24"


policy 50

  action deny


policy 3

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.16.0/24"

Alarm Information


Processus de manutention 

La stratégie 50 est antérieure à la stratégie 3. Après avoir recherché les informations du document, il a été constaté que la priorité de la stratégie n’était pas liée à son ID de stratégie. 

Cause première 


Solution 

Solution: Utilisez la commande «policy move 3 before 50» pour réviser le problème. Le réglage final est:


policy interzone trust untrust outbound

policy 1

  action permit

  policy service service-set icmp

  policy service service-set http

  policy source address-set “172.21.15.0/24”


policy 2

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.4.0/24"


policy 3

  action permit

  policy service service-set http

  policy service service-set https

policy service service-set smtp

  policy source address-set "172.21.16.0/24"


policy 50

  action deny


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page