H3C防火牆安全策略故障排查思路

空配情況誰和誰都不通，全部禁止，接口加了域並配置了策略之后才能訪問。並不像華為設備的高區域級別到低區域級別能通，反之不可，華三的設備不管區域的優先級是多少，除非通過策略，默認誰和誰都不通。

看，華三的防火牆添加新區域的時候並沒有讓填寫區域，這和華為的不一樣。

主要思路有兩步：

• 第一步：報文是否到達防火牆上？

• 第二步：報文是否被防火牆給阻斷了？

如何判斷報文是否到達防火牆？

• 查看防火牆是否有會話表項

dis sesseion table ipv4 source-ip IP destination-ip IP verbose

如果命中了會話表項，就會繼續轉發；如果沒命中任何會話表項，就轉交給策略規則進行匹配，如果策略允許，就創建一表新的表項，如果策略不允許，就扔掉報文。注意，會話有老化時間。

換句話，如果有會話表項，說明報文之前“路過”過，並且通過了防火牆安全策略的檢查。

如果沒有會話表項，就要進行下一步的排查。通過debug命令查看報文是否上到防火牆？

debug ip packet acl 3000   #因為bug信息很多，加上acl會更有針對性。

沒有看到bug信息有兩種可能，報文沒有過來，另一個是被策略給干了，有debug信息說明報文到達了防火牆，如果沒有bug信息，說明報文沒有上到防火牆。

web里面有抓包功能，可以試一試，建議匹配acl

如果通過debug和抓包判斷了包到達了防火牆上，接下來就要判斷安全策略是否阻斷了防火牆。如果判斷是安全策略干的呢？

debu secrr-policy    #最好也寫acl。