!guide_close_btn!

关于防火墙Local区域的问题咨询

[复制链接]
发表于 : 2013-6-8 09:45:52 最新回复:2013-07-08 10:02:32
9500 8
telantg  精英

咨询一下,防火墙local区域不包含任何接口,是否在防火墙上ping自己的接口IP,无需配置域间包过滤策略呢?
  • x
  • 常规:

点评 回复

跳转到指定楼层
zhuimeng528
zhuimeng528   发表于 2013-7-4 11:02:46 已赞(0) 赞(0)

回复 4 楼

学习了!

untrust--》local 的域间策略与ACL配合,可以实现untrust区域ping通防火墙本身。

那么请问一下,从untrust区域ping防火墙配置中的哪个IP,可以理解为是从untrust到local呢?

还是说防火墙所有接口的IP都属于local 区域呢?

  • x
  • 常规:

点评 回复

liushuo  导师VIP 发表于 2013-7-4 13:32:43 已赞(0) 赞(0)

串口登录在设备内  直接ping接口地址是能通的  无关域间策略 local----local
  • x
  • 常规:

点评 回复

kmyd  大师 发表于 2013-7-4 15:15:04 已赞(0) 赞(0)

回复 5 楼

发张设备的WEB配置的图,你可能要明白点!关于防火墙Local区域的问题咨询-1352255-1
  • x
  • 常规:

点评 回复

x_chief   发表于 2013-7-5 02:25:25 已赞(0) 赞(0)

1. 防火墙接口配置了ip地址,必须加入区域才能转发数据,也就是说接口必须加入区域才ping通的。

2. local区域就是防火墙本身,个人理解Local区域可以理解为防火墙上优先级最高的区域,只跟加入这个区域的接口有关系;

3. 关于ping本机地址接口的时候,个人认为:如果没有带源地址,防火墙会查找路由表,然后按出接口的地址做源地址去ping接口地址,就出现源地址和目的地址相同的情况(只要你的接口加入了区域,就可以ping通),此时不涉及区域间策略的问题,因为不带源地址ping接口地址的时候,防火墙上是不会产生session-table的;如果你带了源地址去ping接口地址,如果源地址和目的地址属于不同的区域,才会涉及区域间策略的问题。但是这也有一个问题:就是我带源地址ping不同区域接口地址的时候,防火墙也不产生session table,这个确实很费解,还麻烦大神解释一下。

  • x
  • 常规:

点评 回复

zhuimeng528
zhuimeng528   发表于 2013-7-8 10:02:32 已赞(0) 赞(0)

回复 7 楼

这个是仅基于区域的ACL,而不是区域间的ACL吗?

  • x
  • 常规:

点评 回复

g90006042  精英 发表于 2013-6-8 11:17:00 已赞(0) 赞(0)

接口有区域的,应该是ping不通

  • x
  • 常规:

点评 回复

YaoFujian   发表于 2013-6-8 11:57:58 已赞(0) 赞(0)

接口的地址应该属于local区域吧。接口下挂的设备才属于接口配置的区域。找台防火墙验证一下。
  • x
  • 常规:

点评 回复

kmyd  大师 发表于 2013-6-8 16:23:55 已赞(0) 赞(0)

Local区域是防火墙本身,默认trust--lcoal是通的,所以你防火墙ping自身的接口是通的,PC ping防火墙trust的接口也是通的。untrust  ping防火墙就要配置untrust--local的策略了!默认是不通的!
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!

登录参与交流分享

登录

华为企业互动社区
华为企业互动社区
屏蔽
!block_confirm_cont!