经过USG6650E V6R7C00 无法访问web应用

2019年10月、某某城市政务网互联网出口部署USG6680  V1R1C30SPC100  在默认策略deny情况下，给某某局的http https应用做安全策略，策略未放通TCP协议情况下http   https协议应用可以正常访问。策略如下图：

eNSP模拟实验，默认策略deny前提，只放通HTTP也是可以正常访问服务的（USG6000V1 V500R005C10SPC300）

2020年3月份，交付某某项目时候，出现PC经过USG6650E防火墙后，无法打开运维管理平台的管理界面。

组网方式：

基础配置：

PC网关配置到核心交换机。管理平台网关配置到运维交换机上；核心交换机、防火墙和运维交换机通关三层OSPF协议组网，并将PC和管理平台网段引入到OSPF中；

在防火墙上创建PC和管理平台的安全于，并配置路由实现PC访问管理平台要绕行防火墙。NIP入侵防御采用透明模式部署。

防火墙策略配置：

防火墙默认策略配置为deny模式，并为了PC访问管理平台在防火墙策略上放通HTTP\HTTPS\ICMP协议。

在PC访问管理平台时候，显示无法访问此服务

1、通过PC电脑ping管理平台地址可以正常ping通。

2、路由追踪也可以正常追踪到位。

3、查看防火墙和NIP入侵防御设备，防火墙放通http和https协议，入侵防御设备也是透明模式。

4、在NIP上查看会话可以看到http和https会话。在防火墙上查看会话发现有http和https会话，但是会话未建立成功。

5、在防火墙G1/0/0接口上抓包发现，PC和管理平台的TCP三次握手未建立成功，继续核查NIP和USG的会话，发现NIP上比USG上多一条TCP连接会话。

6、在防火墙上添加TCP协议策略，测试发现可以正常访问。

本次故障的原因：

USG6680V1R1C30SPC900防火墙默认策略deny后，是未将TCP协议阻断的。

而本项目的USG6650E V6R7C00产品，默认策略设置为deny状态后，会将TCP协议的数据报阻断，在此网络结构中测试发现，deny策略阻止了TCP协议，却没有阻止OSPF  hello报文传输，所以出现网络可以通而web无法访问的现象。

防火墙默认策略配置为deny模式，PC访问管理平台在防火墙策略上放通TCP协议。

在防火墙的调试时候，要充分的了解产品的型号和系统版本，不同防火墙的型号或者系统版本所设置的默认策略有时不相同的，在默认策略deny情况下，要详细的配置permet策略才能满足业务需求。

另外在日常的工作中要多记录多总结，增加自己知识储备也方便后期设备调试工作。