登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

11-安全

目录

02-安全策略故障处理

本章节下载 02-安全策略故障处理  (148.92 KB)

02-安全策略故障处理

1 安全策略故障处理

1.1  安全策略配置放行应用及依赖的基础协议,流量却被阻断

1. 故障描述

安全策略中配置放行某个应用和该应用依赖的基础协议,但此应用的流量仍被阻断。

2. 常见原因

本类故障的常见原因主要包括:

·     此应用流量命中了优先级更高的安全策略规则,且动作为丢弃

·     此应用流量命中了期望的安全策略,但流量最终被DPI内容安全丢弃。

3. 故障分析

本类故障的诊断思路如下:

(1)     ‍查看流量命中的安全策略规则是否为期望的规则。

(2)     查看当前安全策略规则,是否配置了DPI内容安全。

本类故障的诊断流程如图1-1所示。

图1-1 安全策略配置放行应用及依赖的基础协议,流量却被阻断故障诊断流程图

 

4. 处理步骤

(1)     ‍查看流量命中的安全策略规则是否为期望的规则。

# 配置ACL作为过滤条件,本例中源地址为10.10.10.10、目的地址为20.20.20.20、目的端口80。

[Device]acl advanced 3999

[Device-acl-ipv4-adv-3999]rule 0 permit tcp source 10.10.10.10 0 destination 20.20.20.20 0 destination-port eq 80

# 开启安全策略debugging查看流量命中情况。

<Device>debugging security-policy packet ip acl 3999

This command is CPU intensive and might affect ongoing services. Are you sure you want to continue? [Y/N]:y

<Device>terminal monitor

<Device>terminal debugging

# 查看Debug信息,判断流量命中的安全策略规则是否为期望的规则。

¡     若流量命中了其他规则,则SecurityPolicy字段对应的规则名称为其他规则,且动作为denied,表示流量被该规则丢弃。此时需要修改此安全策略规则,放行对应流量,或将该规则移动至期望命中规则之后。

*May 23 14:30:16:909 2022 H3C FILTER/7/PACKET: -Context=1; The packet is denied. Src-Zone=Trust, Dst-Zone=Local;If-In=Ten-GigabitEthernet0/0/6(1), If-Out=xxx(1284); Packet Info:Src-IP=10.10.10.10, Dst-IP=20.20.20.20, VPN-Instance=, Src-MacAddr=9ce8-95c9-6289,Src-Port=68, Dst-Port=80, Protocol=UDP(17), Application=invalid(0),Terminal=invalid(0), SecurityPolicy=1, Rule-ID=1.

¡     若流量命中了期望规则,则SecurityPolicy字段对应的规则名称为期望规则,且动作为permitted,表示流量命中了期望规则,且规则动作为放行。此时流量可能是被DPI内容安全丢弃,请执行步骤(2)。

*May 23 14:30:16:909 2022 H3C FILTER/7/PACKET: -Context=1; The packet is permitted. Src-Zone=Trust, Dst-Zone=Local;If-In=Ten-GigabitEthernet0/0/6(1), If-Out=xxx(1284); Packet Info:Src-IP=10.10.10.10, Dst-IP=20.20.20.20, VPN-Instance=, Src-MacAddr=9ce8-95c9-6289,Src-Port=68, Dst-Port=80, Protocol=UDP(17), Application=invalid(0),Terminal=invalid(0), SecurityPolicy=1, Rule-ID=1.

(2)     检查安全策略下是否配置内容安全

a.     ‍

b.     在Device上执行display security-policy rule name rule-name命令,显示当前安全策略规则的配置信息。

[Device] display security-policy rule 0 name testpolicy

 

 rule 0 name testpolicy

  action pass

  profile test

  application name QQ邮箱

  application name http

  application name https

  application name dns

  application name tcp

c.     查看安全策略规则是否配置了DPI内容安全Profile,若流量被内容安全Profile阻断,请判断流量是否安全且需要放行,若需要放行则修改对应内容安全Profile策略的动作。

(3)     如果故障仍然未能排除,请收集如下信息,并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件。

5. 告警与日志

相关告警

相关日志

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们