华三防火墙策略测试

目录

• 策略测试
  • 有会话和没会话各是什么样子？
  • 如果报文过来了，我在外网防火墙上特意用策略拒绝是什么现象？
  • 如何用？
  • 策略查询

策略测试

有会话和没会话各是什么样子？

第一步：我在西安外网防火墙查看源地址是10.100.0.131的报文，结果没发现这样的报文？

<XA>dis session table ipv4 source-ip 10.100.0.131
Slot 1:
Total sessions found: 0

第二步：我在杭州的10.100.0.131访问西安的一台服务器10.30.24.1，再去西安防火墙查看会话，效果如下：

<XA>dis session table ipv4 source-ip 10.100.0.131
Slot 1:
Initiator:
  Source      IP/port: 10.100.0.131/1   #源地址
  Destination IP/port: 10.30.24.1/2048  #目的地址
  DS-Lite tunnel peer: -
  VPN instance/VLAN ID/Inline ID: -/-/-
  Protocol: ICMP(1)
  Inbound interface: Tunnel300    #报文是从tunnel300这个接口进入的
  Source security zone: ipsec    #显示源区域是ipsec区域

能形成会话，其实也说明策略放行了，否则，都不会形成会话！我们下面就试一试。

如果报文过来了，我在外网防火墙上特意用策略拒绝是什么现象？

上图中的test1和test分别就代表10.100.0.131和 10.30.24.1

//被防火墙丢弃之后，显示没有会话
<XA>dis session table ipv4 source-ip 10.100.0.131
Slot 1:
Total sessions found: 0

那么报文不过来，有没有会话？肯定也没有会话，那么没有会话，就有两种原因：

• 报文没过来
• 报文被策略丢弃

那么到底如何确定是被它丢弃了，还是根本没有过来呢？通过防火墙的debug模式可谓查看到被丢弃的所有报文。

怎么查看呢？以华三防火墙为例，防火墙可能是因为有别的策略，所以防火墙可能会丢弃很多的报文，如果我们全都查看的话，会查看不过来的，怎么办呢？我们可以先制定一个acl，通过debug模式只查看这个acl能够匹配的报文就可以了。

# 先做一个ACL3300
<XA>dis acl 3300
Advanced IPv4 ACL 3300, 1 rule,
ACL's step is 5
 rule 0 permit ip source 10.100.0.131 0 (8 times matched)

# 启动debug命令
debugging security-policy packet ip acl   xxx
t m
t d

## 下面是启动debug之后的显示
*Jun  9 20:01:46:272 2020 bresee_FW_XA FILTER/7/PACKET: -Context=1; The packet is denied. Src-Zone=ipsec, Dst-Zone=Trust;If-In=Tunnel300(147), If-Out=GigabitEthernet1/0/1(2); Packet Info:Src-IP=10.100.0.131, Dst-IP=10.30.24.1, VPN-Instance=, Src-MacAddr=d849-0bb5-b458,Src-Port=8, Dst-Port=0, Protocol=ICMP(1), Application=ICMP(22742), SecurityPolicy=TEST, Rule-ID=10.

*Jun  9 20:01:51:271 2020 bresee_FW_XA FILTER/7/PACKET: -Context=1; The packet is denied. Src-Zone=ipsec, Dst-Zone=Trust;If-In=Tunnel300(147), If-Out=GigabitEthernet1/0/1(2); Packet Info:Src-IP=10.100.0.131, Dst-IP=10.30.24.1, VPN-Instance=, Src-MacAddr=d849-0bb5-b458,Src-Port=8, Dst-Port=0, Protocol=ICMP(1), Application=ICMP(22742), SecurityPolicy=TEST, Rule-ID=10.

# 关闭debug用ctrl+o

解决一下上面的信息，最前面是时间，显示被拒绝，源地址来自ipsec，目标区域是trus，通过tunnel300接口进入的，通过g1/0/1接口出去，源IP和目标IP，协议是icmp，最后，也是最后价值的是显示是哪一条策略给拒绝的，TEST是拒绝策略的名字，太好了。

也就是说，通过debug命令我们就可以看出来，报文被哪条策略给拒绝了。

如何用？

遇到问题时，我们应该先查看是否有会话信息，有会话信息就说明报文来到了设备上，并且被策略给放行了，如果策略不允许肯定不会形成会话的。

如果没有会话呢？如果没有会话就有两个原因，一个是报文确实没有过来，那就去下行设备看看有没有设置路由啥的。另一个是报文被策略给拒绝了，通过debug就可以看出来是否是被策略给拒绝了。

策略查询

图形界面的查询和高级查询挺好用的，尤其是策略比较多的时候，查询查询的是仅是策略名称，而高级查询可以根据源安全域和目的安全域进行查询。
其实可以直接通过上文当中所描述，通过ACL与debug模式查看也可。