華三防火牆策略測試

目錄

• 策略測試
  • 有會話和沒會話各是什么樣子？
  • 如果報文過來了，我在外網防火牆上特意用策略拒絕是什么現象？
  • 如何用？
  • 策略查詢

策略測試

有會話和沒會話各是什么樣子？

第一步：我在西安外網防火牆查看源地址是10.100.0.131的報文，結果沒發現這樣的報文？

<XA>dis session table ipv4 source-ip 10.100.0.131
Slot 1:
Total sessions found: 0

第二步：我在杭州的10.100.0.131訪問西安的一台服務器10.30.24.1，再去西安防火牆查看會話，效果如下：

<XA>dis session table ipv4 source-ip 10.100.0.131
Slot 1:
Initiator:
  Source      IP/port: 10.100.0.131/1   #源地址
  Destination IP/port: 10.30.24.1/2048  #目的地址
  DS-Lite tunnel peer: -
  VPN instance/VLAN ID/Inline ID: -/-/-
  Protocol: ICMP(1)
  Inbound interface: Tunnel300    #報文是從tunnel300這個接口進入的
  Source security zone: ipsec    #顯示源區域是ipsec區域

能形成會話，其實也說明策略放行了，否則，都不會形成會話！我們下面就試一試。

如果報文過來了，我在外網防火牆上特意用策略拒絕是什么現象？

上圖中的test1和test分別就代表10.100.0.131和 10.30.24.1

//被防火牆丟棄之后，顯示沒有會話
<XA>dis session table ipv4 source-ip 10.100.0.131
Slot 1:
Total sessions found: 0

那么報文不過來，有沒有會話？肯定也沒有會話，那么沒有會話，就有兩種原因：

• 報文沒過來
• 報文被策略丟棄

那么到底如何確定是被它丟棄了，還是根本沒有過來呢？通過防火牆的debug模式可謂查看到被丟棄的所有報文。

怎么查看呢？以華三防火牆為例，防火牆可能是因為有別的策略，所以防火牆可能會丟棄很多的報文，如果我們全都查看的話，會查看不過來的，怎么辦呢？我們可以先制定一個acl，通過debug模式只查看這個acl能夠匹配的報文就可以了。

# 先做一個ACL3300
<XA>dis acl 3300
Advanced IPv4 ACL 3300, 1 rule,
ACL's step is 5
 rule 0 permit ip source 10.100.0.131 0 (8 times matched)

# 啟動debug命令
debugging security-policy packet ip acl   xxx
t m
t d

## 下面是啟動debug之后的顯示
*Jun  9 20:01:46:272 2020 bresee_FW_XA FILTER/7/PACKET: -Context=1; The packet is denied. Src-Zone=ipsec, Dst-Zone=Trust;If-In=Tunnel300(147), If-Out=GigabitEthernet1/0/1(2); Packet Info:Src-IP=10.100.0.131, Dst-IP=10.30.24.1, VPN-Instance=, Src-MacAddr=d849-0bb5-b458,Src-Port=8, Dst-Port=0, Protocol=ICMP(1), Application=ICMP(22742), SecurityPolicy=TEST, Rule-ID=10.

*Jun  9 20:01:51:271 2020 bresee_FW_XA FILTER/7/PACKET: -Context=1; The packet is denied. Src-Zone=ipsec, Dst-Zone=Trust;If-In=Tunnel300(147), If-Out=GigabitEthernet1/0/1(2); Packet Info:Src-IP=10.100.0.131, Dst-IP=10.30.24.1, VPN-Instance=, Src-MacAddr=d849-0bb5-b458,Src-Port=8, Dst-Port=0, Protocol=ICMP(1), Application=ICMP(22742), SecurityPolicy=TEST, Rule-ID=10.

# 關閉debug用ctrl+o

解決一下上面的信息，最前面是時間，顯示被拒絕，源地址來自ipsec，目標區域是trus，通過tunnel300接口進入的，通過g1/0/1接口出去，源IP和目標IP，協議是icmp，最后，也是最后價值的是顯示是哪一條策略給拒絕的，TEST是拒絕策略的名字，太好了。

也就是說，通過debug命令我們就可以看出來，報文被哪條策略給拒絕了。

如何用？

遇到問題時，我們應該先查看是否有會話信息，有會話信息就說明報文來到了設備上，並且被策略給放行了，如果策略不允許肯定不會形成會話的。

如果沒有會話呢？如果沒有會話就有兩個原因，一個是報文確實沒有過來，那就去下行設備看看有沒有設置路由啥的。另一個是報文被策略給拒絕了，通過debug就可以看出來是否是被策略給拒絕了。

策略查詢

圖形界面的查詢和高級查詢挺好用的，尤其是策略比較多的時候，查詢查詢的是僅是策略名稱，而高級查詢可以根據源安全域和目的安全域進行查詢。
其實可以直接通過上文當中所描述，通過ACL與debug模式查看也可。