USG6500 二三层混跑安全策略配置错误导致网络不通

发布时间:  2016-11-22 浏览次数:  185 下载次数:  0
问题描述

 

1、网络架构如下,服务器网关配置在防火墙的G0/0/2口,防火墙连接核心交换机和AR路由器的接口都是二层口。

   防火墙默认安全策略配置为允许,则服务器可以访问外网;但是单独配置DMZ到untrust的安全策略为允许,服务器无法访问外网。

告警信息

处理过程

 

1、按照描述,应该是安全策略错误导致的,在防火墙默认安全策略配置为允许的环境下,服务器ping 192.168.1.1,在防火墙上查看会话,核实数据的源安全区域及目的安全区域:

2、从会话中发现,数据的源安全区域是DMZ,但是目的安全区域是trust(由出接口vlanif 1所在的安全区域决定)。

   #
     firewall zone trust
        set priority 85
        add interface vlanif1
   #


3、防火墙默认安全策略配置阻止,再单独配置一条DMZ区域到trust区域的策略为允许,问题解决。

根因

服务器的网关在防火墙上,需要防火墙查找路由决定出接口(三层接口),而防火墙的默认路由出接口是vlanif 1,vlanif 1是在trust区域里面。

所以服务器访问外网的数据的目的区域实际上是trust。

解决方案

配置一条DMZ区域到trust区域的安全策略为允许,问题解决。

建议与总结

1、如果防火墙的转发是二层,以物理接口所在的安全区域决定源\目的安全区域,比如此例中,核心交换机下的用户要访问外网,需配置trust到untrust的安全策略为允许。

2、如果需要防火墙的三层功能执行转发,目的安全区域由路由出接口(三层接口,此例中的vlanif 1)决定,所以此例中DMZ区域的服务器访问外网需要配置DMZ到trust的安全策略为允许。

END