faq:防火墙双机热备心跳接口指定remote地址后怎么做严格包过滤?

发布时间:  2016-01-22 浏览次数:  174 下载次数:  0
问题描述

组网如上图,其中USG_A和USG_B做双机热备。其中心跳口为GE0/0/2。并将其加入到dmz区域。心跳配置如下:

USG_A:

interface GigabitEthernet0/0/2
ip address 10.1.1.1 255.255.255.252
#
hrp interface GigabitEthernet 0/0/2 remote 10.1.1.2


USG_B:

interface GigabitEthernet0/0/2
ip address 10.1.1.2 255.255.255.252
#
hrp interface GigabitEthernet 0/0/2 remote 10.1.1.1

那么,怎么放行local区域和dmz区域的报文过滤呢?

解决方案

当使用命令hrp interface GigabitEthernet x/x/x remote x.x.x.x的时候防火墙将发送udp报文维护双机热的状态。只需要放行相应的udp报文接口。

其中USG发送的Udp报文包含如下两种:

源端口为65280目的端口为18514

源端口为65280目的端口为18515

其中一种用来做维护双机热备的状态(保活),一种用来同步配置和状态信息。

所以需要做的报文过滤如下:

USG_A:

ip service-set hrp type object
service 0 protocol udp source-port 65280 destination-port 18514
service 1 protocol udp source-port 65280 destination-port 18515

rule name local_2_dmz_hrp
  source-zone local
  destination-zone dmz
  source-address 10.1.1.1 mask 255.255.255.255
  destination-address 10.1.1.2 mask 255.255.255.255
  service hrp
  action permit

rule name local_2_dmz_hrp
  source-zone dmz
  destination-zone local
  source-address 10.1.1.2 mask 255.255.255.255
  destination-address 10.1.1.1 mask 255.255.255.255
  service hrp
  action permit

USG_B:

ip service-set hrp type object
service 0 protocol udp source-port 65280 destination-port 18514
service 1 protocol udp source-port 65280 destination-port 18515

rule name local_2_dmz_hrp
  source-zone local
  destination-zone dmz
  source-address 10.1.1.2 mask 255.255.255.255
  destination-address 10.1.1.1 mask 255.255.255.255
  service hrp
  action permit

rule name local_2_dmz_hrp
  source-zone dmz
  destination-zone local
  source-address 10.1.1.1 mask 255.255.255.255
  destination-address 10.1.1.2 mask 255.255.255.255
  service hrp
  action permit

 

END