USG2130防火墙透明模式,trust-dmz禁止所有流量,仍然可以互通

发布时间:  2015-11-17 浏览次数:  227 下载次数:  0
问题描述

1、USG2130防火墙透明模式,trust-dmz禁止所以流量,仍然可以互通

2、配置如下:(相关配置)

firewall packet-filter default deny interzone trust dmz direction inbound
firewall packet-filter default deny interzone trust dmz direction outbound

#
interface Ethernet1/0/0
portswitch
port link-type access
#
interface Ethernet1/0/1
portswitch
port link-type access
#
interface Ethernet1/0/2
portswitch
port link-type access
#
interface Ethernet1/0/3
portswitch
port link-type access
#
interface Ethernet1/0/4
portswitch
port link-type access
#
interface Ethernet1/0/5
portswitch
port link-type access

firewall zone trust
set priority 85
add interface Ethernet1/0/0
add interface Ethernet1/0/2
add interface Ethernet1/0/3
add interface Ethernet1/0/4
add interface Ethernet1/0/5
#

firewall zone dmz
set priority 50 
add interface Ethernet1/0/1
#

 

告警信息
处理过程

1、第一步建议关闭二层快速转发功能---客户反馈结果不生效

2、确认防火墙通信的两个接口(Ethernet1/0/0、Ethernet1/0/1)在同一块单板上,并且该单板为二层单板(如何判断是二层接口:无法通过命令portswitch在2/3层间自由转换)。

3、特性:防火墙两个接口如果处于一块二层单板,并工作在透明模式下,数据包转发不上送CPU处理,安全控制策略无法控制其转发。

根因

防火墙二层板特性

1、透明模式下同一块二层单板的两个或多个接口间转发数据不受安全策略控制。

2、如何确认是二层板还是三层板:通过portswitch命令能否在2/3层间自由转换,如果可以:三层板,不可以:2层板。

 

解决方案


解决办法如下:

1、改变防火墙的工作模式,工作在路由模式下

2、将透明模式下需要控制的两个接口放在不同的两块二层板上

3、将透明模式下使用一个3层板接口与二层板接口间进行通信

 

备注:最后将防火墙上唯一的GE0/0/0口(三层)改成二层接口,与二层板上的接口互换通信,安全策略可以进行控制。

解决配置如下:(关键配置)
将Ethernet0/0/0加入到dmz区域,使用Ethernet0/0/0代替Ethernet1/0/1连接PC与trust区域下的终端进行通信,策略可以很好的控制其互访

#

firewall zone dmz
set priority 50 
add interface Ethernet0/0/0
#

建议与总结
处理该类问题,需要对防火墙的特性有所了解

END