由于策略顺序配置错误导致策略命中计数为0

发布时间:  2014-12-29 浏览次数:  77 下载次数:  0
问题描述
客户组网拓扑如下:
内网用户--------网闸设备---------fw------------服务器集群
客户来电反馈通过网闸的流量,在防火墙web界面上没有策略命中计数。

处理过程
检查配置发现,policy 10194在后面位置无法命中是因为命中了前面的策略policy 10040;测试的日志信息如下:


配置脚本:

policy 10039
action permit
policy logging
policy source 10.110.245.96 mask 27

policy 10040
action permit
policy logging
policy source 172.0.0.0 mask 8  //这个配置的范围太大,包含了policy 10194的范围,所以先命中了这个策略;

policy 10194
action permit
policy logging
policy service service-set tcp端口1521
policy source address-set iss_dmz_网闸   //地址范围为:address 0 range 172.22.254.52 172.22.254.54
policy destination address-set dc_dc_二级系统数据库_20
policy destination address-set dc_dc_二级系统数据库_21

IP地址集 :
ip address-set iss_dmz_网闸 type group
address 0 range 172.22.254.52 172.22.254.54


根因
由于域间策略配置错误,导致业务命中了前面的策略,没有命中后面的目标策略。

解决方案
将policy 10040,policy 10039这种范围比较大的地址段放在最后面;
注意:域间policy策略命中的顺序是按policy策略的先后顺序依次匹配,而不是按策略ID的大小顺序进行匹配。在前面的策略先匹配,并且一旦匹配成功,不再继续匹配其它策略,

END