H3C防火墙安全策略故障排查思路

H3C防火墙安全策略故障排查思路

空配情况谁和谁都不通，全部禁止，接口加了域并配置了策略之后才能访问。并不像华为设备的高区域级别到低区域级别能通，反之不可，华三的设备不管区域的优先级是多少，除非通过策略，默认谁和谁都不通。

                                           
                                           看，华三的防火墙添加新区域的时候并没有让填写区域，这和华为的不一样。

主要思路有两步：

• 第一步：报文是否到达防火墙上？

• 第二步：报文是否被防火墙给阻断了？

如何判断报文是否到达防火墙？

• 查看防火墙是否有会话表项

                                            dis sesseion table ipv4 source-ip IP destination-ip IP verbose

如果命中了会话表项，就会继续转发；如果没命中任何会话表项，就转交给策略规则进行匹配，如果策略允许，就创建一表新的表项，如果策略不允许，就扔掉报文。注意，会话有老化时间。

换句话，如果有会话表项，说明报文之前“路过”过，并且通过了防火墙安全策略的检查。

如果没有会话表项，就要进行下一步的排查。通过debug命令查看报文是否上到防火墙？

                                            debug ip packet acl 3000   #因为bug信息很多，加上acl会更有针对性。

没有看到bug信息有两种可能，报文没有过来，另一个是被策略给干了，有debug信息说明报文到达了防火墙，如果没有bug信息，说明报文没有上到防火墙。

web里面有抓包功能，可以试一试，建议匹配acl

如果通过debug和抓包判断了包到达了防火墙上，接下来就要判断安全策略是否阻断了防火墙。如果判断是安全策略干的呢？

debu secrr-policy    #最好也写acl。