由于域间安全策略缺省关闭导致直连接口无法ping通

发布时间:  2014-09-20 浏览次数:  141 下载次数:  0
问题描述
防火墙正常工作后,用户访问Internet的业务正常,但无法ping通防火墙上的接口地址。
处理过程
开启Local和Trust域间安全策略,问题解决。
根因
1. 执行display interface brief命令,查看防火墙接口状态,显示接口状态正常。
HRP_M[USG9000] display interface brief 
*down: administratively down                                                    
^down: standby                                                                  
(l): loopback                                                                   
(s): spoofing                                                                   
(b): BFD down                                                                   
(d): Dampening Suppressed                                                       
InUti/OutUti: input utility/output utility                                      
Interface                   Physical Protocol InUti OutUti   inErrors  outErrors
Aux0/0/1                    down     down        0%     0%          0          0
Eth-Trunk1                  down     down        0%     0%          0          0
Eth-Trunk2                  down     down        0%     0%          0          0
Eth-Trunk3                  down     down        0%     0%          0          0
GigabitEthernet0/0/0        up       up       0.01%  0.01%          0          0
GigabitEthernet1/0/0        down     down        0%     0%          0          0
GigabitEthernet1/0/1        up          up             0%     0%          0          0
GigabitEthernet1/0/2        up          up             0%     0%          0          0


2. 执行display zone命令,查看接口已经加入安全区域。
HRP_M[USG9000] display zone 
#       
trust     
priority is 85       
interface of the zone is (1):       
    add  interface GigabitEthernet1/0/1  

3. 查看路由信息正常,如下:
HRP_M[USG9000] display fib 10.1.8.14     
  Route Entry Count: 1         
Destination/Mask   Nexthop         Flag TimeStamp     Interface       TunnelID  
10.1.8.0/25        10.1.8.13       U     t[673627]         GE1/0/1        0x0
4. 查看域间安全策略。
HRP_M[USG9000]dis policy interzone local trust outbound     
policy interzone local trust outbound   
firewall default packet-filter is deny

从安全域间策略的配置可以看到,报文应该是被该策略deny掉了。
建议与总结
USG9000 V300R001版本缺省安全域间策略是deny的,在调试期间,可以在安全域间增加配套的策略,调试完毕后删除该策略。
policy interzone local trust outbound        
policy 0     
description local->trust      
  action permit

END