防火墙WEB界面策略匹配计数为“0”故障处理

发布时间:  2013-03-22 浏览次数:  111 下载次数:  0
问题描述

防火墙策略配置完成后,但通过web界面查看策略统计计数一直为“0”。见下图:

1,通过查看防火墙会话,源(172.22.254.53)到目的(10.110.40.12)有会话且有流量。


    
2,地址组如下:





但,在web界面上计数且为“0”,如下图:

告警信息
处理过程
   通过仔细排查靠前的策略,发现此调策略已经被更靠前的策略包含了。如下:
policy 10040
  action permit
  policy logging
  policy source 172.0.0.0 mask 8 

把10040的策略移到本策略的后面,问题解决。
根因
造成这样的原因可能有:
1, 策略源和目的地址匹配到更靠前的策略。
2, 计数曾经被清零过,但会话一直未老化。
建议与总结

END