防火墙域间策略故障排查

一、开始

防火墙域间策略问题定位故障的思路是：首先在防火墙上查看业务流所对应的会话表项是否存在。若会话表项存在，则需要仔细检查会话表项所包括的源/目的安全区域、发起方/响应方五元组、协议状态等信息是否符合预期，否则，应按域间策略的正

版权所有:杭州华三通信技术有限公司

常配置顺序检查防火墙是否存在配置错误。若防火墙上虽然可以查询到会话表项，但没有响应方报文统计，这种情况很可能是由于路由交换网络未能将会话反向报文正确转发至本防火墙造成的，此时需要从整网角度，尤其是报文转发路径方面着手排查。若防火墙上业务流对应的会话表项不存在，一种可能是由于业务报文被域间策略阻断而未能创建会话，这种情况需要重点检查阻断动作的域间策略是否配置正确；另一种可能是防火墙确实没有接收到会话发起方相应的业务报文，这种情况通常需要排查网络中防火墙上游其他设备是否存在转发故障。域间策略是H3C Comware

V5平台防火墙非常稳定的基础安全特性，无论现场遇到的问题是“应该通的没通”还是“不应该通的通了”，相信通过确认组网连接、检查设备配置、观察业务报文收发情况、观察防火墙会话表项信息等一系列排查手段，最终都能得到定位和解决。1、是否存在会话表项 H3C Comware

V5平台防火墙属于状态检测防火墙，会话表项是防火墙对网络中各条业务流执行状态检测的重要依据。防火墙从某业务端口接收报文后，与当前会话表进行匹配。如果报文命中某条会话表项，意味着可以继续转发。如果无法命中任何会话表项，该报文将转交给域间策略模块进行策略匹配，匹配结果为允许，防火墙将创建一条新的会话表项并转发该报文；匹配结果为拒绝则丢弃该报文且不创建会话。

为了更精确地查找会话表项，防火墙支持基于会话发起方的源/目的IP地址、源/目的端口号、协议、虚拟设备名称等参数执行筛选查找。要注意执行命令的时机必须在会话老化以前，以UDP、ICMP协议会话为例，如果防火墙没有接收到后续命中会话的业务报文，则该会话会在60秒后删除。若查询命令执行后显示会话表项数为0，说明当前不存在符合查询条件的会话表项。 命令： display session table source-ip x.x.x.x destination-ip x.x.x.x verbose

例如：网络管理员执行5次Ping操作，会话发起方源/目的地址分别为10.0.20.2/10.0.30.2，Ping报文经过防火墙时命中允许动作域间策略，因此在会话表中可以查询到如下表项，会话发起方为10.0.20.2，会话响应方为10.0.30.2，发起方位于Untrust区域，响应方位于Trust区域，发起方发送了5个报文，响应方回复了5个报文。若防火墙没有收到后续报文，会话将在9秒后删除。

版权所有:杭州华三通信技术有限公司

2、是否接收到数据报文

若防火墙上业务流对应的会话表项不存在，一种可能是由于业务报文被域间策略阻断而未能创建会话，这种情况需要重点检查阻断动作的域间策略是否配置正确；另一种可能是防火墙确实没有接收到会话发起方相应的业务报文，这种情况通常需要排查网络中防火墙上游其他设备是否存在转发故障。为了区别这两种不同的可能性，需要通过debugging命令的输出信息来协助判断。在使能debugging开关时必须引用精确匹配业务报文的ACL过滤输出，避免大量的无效信息干扰分析。 命令： debugging ip packet acl xxxx debugging firewall packet-filter xxxx acl xxxx

例如：如下所示，先配置ACL规则用于精确匹配Ping测试的流量，发起方源/目的IP地址分别为10.0.20.2/10.0.30.2，然后打开debugging开关，接着再重新操作Ping操作，最后观察debugging命令的输出信息：防火墙接收并尝试路由转发了这个ICMP包,但随后在进行域间策略查找匹配时，被源域为Untrust目的域为Trust的阻断规则丢弃，ACL

none表示该报文命中了缺省域间规则，即默认的低优先级安全区域不能主动访问高优先级安全区域。

版权所有:杭州华三通信技术有限公司

3、检查其它设备问题

若防火墙没有接收到业务报文，则问题很可能发生在发起方至防火墙之间的某个位置，可能是由于组网、路由规划、其他设备故障等因素导致报文没有到达或者绕过防火墙。建议从发起方开始逐跳排查，逐步确认报文的具体转发路径、是否存在丢包等。如确认是非H3C品牌设备引起的故障，应尽快与设备的服务提供商取得联系。4、检查会话表项信息

在防火墙上查询到会话表项后，应根据实际组网情况核对表项信息是否符合预期。重点检查会话表项的源/目的安全区域是否正确，发起方/响应方报文五元组、VLAN等是否正确，会话正反方向上接收的报文数统计是否正确等。如果源/目的安全区域

版权所有:杭州华三通信技术有限公司

不符合预期，通常是端口安全区域属性配置错误或路由表配置错误造成。如果发起方/响应方的五元组信息不符合预期，则多见于NAT策略配置错误。如果防火墙在会话反方向没有接收到响应方回复的报文，则多数是业务流来回转发路径不一致，即反方向报文未经本防火墙转发造成。 命令： display session table source-ip x.x.x.x destination-ip x.x.x.x verbose

例如：网络管理员执行5次Ping操作，发起方源/目的IP地址分别为10.0.20.2/10.0.30.2。从会话表项中可以查看到发起方处于Untrust区域、响应方处于Trust区域，防火墙在会话正/反方向各处理了5个数据包，该会话属于ICMP协议类型，当前处于ICMP-CLOSED状态，如果没有匹配该会话的后续数据包到达本防火墙，那么这条表项将在15秒后老化删除。

例如：在Web管理界面的“防火墙>会话管理>会话列表”页签中查看会话表项的具体信息。

版权所有:杭州华三通信技术有限公司

5、检查安全区域配置

域间策略是防火墙在不同的源/目的安全区域之间部署的安全策略，因此必须确保各个端口添加了准确的安全区域属性。防火墙默认第一个物理端口已添加为管理区域，其他端口（包括二三层物理端口、二三聚合端口、隧道口、VLAN虚接口、虚接口模板等）默认均无安全区域属性，必须手工配置后才能真正转发业务报文。将端口加入某个安全区域，不是指防火墙端口本身属于这个区域，而是意味着这个端口所连接的网络处于该安全区域内。虽然没有明确地体现，但切记防火墙自身全部端口都属于Local区域。端口的安全区域属性支持通过CLI或Web页面进行配置与查看。 命令： display current-configuration configuration vsys

例如：在CLI管理界面中，通过命令检查设备当前安全区域配置情况。其中GigabitEthernet0/1默认配置已加入管理区域，Ten-GigabitEthernet0/0.20和Ten-GigabitEthernet0/0.30分别加入了Untrust区域和Trust区域。

版权所有:杭州华三通信技术有限公司

例如：在Web管理界面的“设备管理>接口管理”页签中，查看端口安全区域配置情况。在本例中防火墙通过两个三层子接口进行转发，主接口无需配置安全区域。

6、是否使用域间策略组 H3C Comware

V5平台防火墙支持域间策略组、域间策略两种配置方式。域间策略组通过将ACL直接应用在安全区域间实现。这种配置方法在V5平台防火墙替换原有网络中的包过滤防火墙时比较常用，可以实现快速移植原有ACL包过滤策略的目的。域间策略则通过将网络地址、端口信息抽象为地址资源、服务资源，结合时间段资源，实现基于面向对象思想的部署方式，更加灵活有效。注意，两种配置方式只能任选其一，即如果采用域间策略组方式进行安全策略配置，那么就无法再使用域间策略方式。7、检查域间策略组配置

若采用域间策略组方式进行配置，应重点检查引用的ACL规则、引用的顺序是否准确。在Web管理页面中，当一条域间策略组中同时引用了多个ACL规则时，系统将按显示顺序（从左至右、从上至下）依次进行匹配，在CLI界面中同理，按显示顺序（从上至下）依次进行匹配；该显示顺序亦为管理员的策略配置顺序。此外，还应注意检查域间策略组是否已经启用。在Web页面中，当启用选项显示为绿包箭头向上时，表示当前处于已启用状态，反之为不生效状态。 命令： interzone source XXXX destination XXXX rule acl XXXX rule acl enable

例如：在CLI管理界面中，进入域间视图，检查域间策略组配置情况。在本例中，当业务流量从Untrust区域发起，目标为Trust区域时，将按照先ACL 3001后ACL 3002的顺序进行策略匹配。

版权所有:杭州华三通信技术有限公司

在Web管理界面的“防火墙>安全策略>域间策略组”页签中，检查策略配置。当源/目的安全区域之间存在多条ACL策略时，按先ACL 3001后ACL 3002的顺序进行匹配。

8、检查ACL配置

检查域间策略组所引用的ACL配置是否正确，需注意域间策略组仅关心ACL规则中与报文五元组相关的信息，即IP报文的“源/目的IP地址”、“源/目的端口号”、“协议类型”。

部分型号防火墙还支持ACL加速功能，若发现对应的ACL加速状态为“失效”，应先停止加速后再重新使能加速（该ACL包含规则数量大于1K），或停止加速（该ACL包含规则数量小于1K）。 命令： display acl xxxx

例如：在CLI管理界面中,通过命令查看ACL规则配置是否正确。

在Web管理界面的“防火墙>ACL”页签中，检查ACL规则的配置情况。

版权所有:杭州华三通信技术有限公司

命令： display acl accelerate all

例如：通过命令查看ACL加速状态是否正常，若状态列显示为“OOD”，说明当前加速状态已失效，必须停止加速后再次重新使能。如果ACL内包含的规则数较少，或管理员需要经常性对规则进行增删、修改等操作，建议不要使能ACL加速。

在Web管理界面的“防火墙>ACL”页签中，检查ACL的加速状态。在本例中，ACL3001的加速状态为“失效”，管理员必须立即手工操作重新加速，或停止加速。

9、检查域间策略配置

检查域间策略配置是否正确，重点检查域间策略的匹配顺序是否符合客户预期。在Web管理页面或CLI界面中，相同源/目的安全区域间多条域间策略始终按从上至下的显示顺序依次进行匹配（与策略ID号无关）。

除了管理员配置的自定义域间策略外，H3C Comware

V5平台防火墙还需考虑缺省域间策略：其他安全区域都可以与Local区域互相访问；Management区域仅能与Management区域或Local区域互相访问；除Management区域和Local区域外，高优先级安全区域可以主动访问低优先级安全区域，反之低优先级安全区域不可以主动访问高优先级安全区域，相同优先级安全区域之间可以互相访问；同一个安全区域内可以互相访问。缺省域间策略不显示在配置界面中，它的匹配顺序始终在用户配置的域间策略之后。

防火墙域间策略支持引用“内容过滤策略模板”以实现对HTTP、SMTP、POP3、FTP、Telnet等五种协议的数据报文按特征执行过滤功能。当防火墙域间策略引用该配置模板时，需检查这部分配置是否正确并符合客户预期。

若防火墙域间策略启用了MAC地址匹配功能，需检查源/目的MAC地址配置是否正确，是否能够匹配实际业务报文的源/目的MAC地址。

部分型号防火墙支持域间策略加速功能，若发现加速状态失效，应先停止加速后再重新使能加速（该源/目的安全区域间策略数大于1K），或停止加速即可（该源/目的安

版权所有:杭州华三通信技术有限公司

全区域间策略数小于1K）。

在Web页面中，当某条域间策略的“启用选项”列显示为绿色箭头向上，表示该条域间策略当前为已启用状态，反之为不生效状态。 命令： rule X permit rule X deny source-ip XXXX destination-ip XXXX service X rule enable

例如：在CLI管理界面中，进入安全域间视图，检查域间策略配置情况。本例中，Untrust区域至Trust区域共有两条策略，禁止除HTTP（TCP80）协议外的所有其他访问通过。

在Web管理界面的“防火墙>安全策略>域间策略”页签中，检查域间策略的配置情况。

命令： display interzone-policy accelerate

例如：通过命令查看域间策略加速状态是否正常，若状态列显示为“OOD”，说明当前加速状态已失效，应停止加速后再次重新使能加速功能。

版权所有:杭州华三通信技术有限公司

在Web管理界面的“防火墙>安全策略>策略加速”页签中，检查域间策略的加速状态。在本例中，Untrust区域至Trust区域的策略加速状态为“失效”，必须手工操作重新加速，或停止加速。

10、检查地址对象配置

检查地址对象配置是否准确。对于主机地址和范围地址应重点检查有效IP地址、例外IP地址配置是否正确，以主机名方式配置的地址对象还需保证防火墙DNS解析功能正常，确保防火墙能够成功为主机名对象解析其对应的IP地址；对于子网地址对象，要特别注意其配置为反掩码方式。对于地址组对象，要重点检查其引用的地址对象层次化关系是否准确。 命令： object network subnet XXXX object network range XXXX object network host XXXX object-group network XXXX 例如：在CLI管理界面中检查地址对象、对象组配置。

版权所有:杭州华三通信技术有限公司

在Web管理界面的“资源管理>地址>IP地址”页签中，可以查看到“主机地址”、“范围地址”、“子网地址”的配置情况，在“资源管理>地址>地址组”页签中，可以查看到“IP地址组”的配置情况。

11、检查服务对象配置

检查服务对象配置是否准确。“预定义服务”是防火墙软件系统默认支持的常见协议、应用所对应的服务对象，支持通过命令查看，但不支持修改与删除。“自定义服务”

版权所有:杭州华三通信技术有限公司

是管理员根据实际组网应用情况创建的服务对象，需重点检查协议、端口号配置是否正确。在Web管理页面中任意端口号应表达为“0~65535”。对于服务组要确认其引用的服务对象层次化关系是否准确。 命令： object service XXXX object-group service XXXX 例如：在CLI管理界面中检查服务对象、服务对象组配置。

在Web管理界面的“资源管理>服务>自定义服务”页签中，可以查看到“自定义服务”的配置情况，在“资源管理>服务>服务组”页签中，可以查看到“服务组”的配置情况。

12、检查时间段配置

查看防火墙当前系统时间、时区配置是否正确。若不正确应立即调整，建议启用NTP服务为防火墙实时同步系统时钟。注意不要同时启用NTP和ACSEI协议为防火墙插卡同步系统时间。

若系统时间正常，需检查时间对象配置是否正确。注意，当一个时间段配置中包含有多个周期时间段和绝对时间段时，系统将先分别取各周期时间段的并集和各绝对时间段的并集，再取这两个并集的交集作为该时间段最终生效的时间范围。如果当前系统时间正处于该时间对象生效的时间范围内，在用户界面上将有“Active”提示信息。 命令：display clock 例如：检查当前系统时间是否正常。

版权所有:杭州华三通信技术有限公司

若系统时间不正确应立即调整。 命令：clock datetime 例如：通过命令调整系统时间： 命令：time-range XXXX 例如：在CLI管理界面中检查时间对象配置。

命令：display time-range XXXX

例如：在CLI管理界面中检查时间对象当前是否生效。

在Web管理界面的“资源管理>时间段”页签中，可以查看到“时间段”的配置情况及生效状态。

13、是否启用双机热备

防火墙设备通常部署在网络中的重要节点位置，如果仅部署单台设备，当出现硬件故障时将会对业务造成重大影响。因此在网络规划时，通常以两台防火墙硬件设备形成双机部署，从而避免出现单点故障，实现高可靠性。为真正实现快速热备份，需要在两台防火墙之间实时同步会话表项等信息，因此当两台防火墙形成双机关系，并且在网络中提供完全相同的功能时，应该启用防火墙双机热备功能。 命令：display dhbk status

例如：在CLI管理界面中检查是否启用双机热备，两台防火墙需分别进行检查。

版权所有:杭州华三通信技术有限公司

在Web管理界面的“高可靠性>双机热备”页签中，可以查看是否启用双机热备。

14、检查双机热备配置与状态 H3C Comware

V5平台防火墙双机热备功能分为会话同步、配置同步、IPSec

SA同步等几部分功能，其中会话同步又分为“不支持非对称路径”和“支持非对称路径”两种。

如果两台防火墙形成双机热备组网，双向业务流量仅经过主用防火墙转发，另一台备用防火墙正常情况下无业务流量，那么使能“不支持非对称路径”类型的双机热备会话同步即可；如果无法保证双向业务流量始终经过同一台防火墙转发，则必须使能“支持非对称路径”类型的双机热备会话同步。建议在两台防火墙之间，单独使用1~2条直联物理线路作为备份线。两台防火墙部署双机热备会话同步功能后，必须从组网规划上避免同一条业务流在源和目的之间转发时，同时经过两台防火墙；换言之，两台防火墙之间不应部署可以转发业务报文的二三层业务连接。 命令：dhbk enable backup-type symmetric-path 　　　dhbk enable backup-type dissymmetric-path dhbk interface x vlan xxxx session synchronization enable 　　　display dhbk status 例如：在CLI管理界面中使能会话同步，启用防火墙双机热备支持非对称路径功能，

版权所有:杭州华三通信技术有限公司

选择GE0/4

Vlan4094做双机热备口。备份线缆连接后，查看双机热备状态以确认配置生效。

在Web管理界面的“高可靠性>双机热备”页签中，也可进行双机热备会话同步的相关配置。注意，未使能配置同步功能时，配置同步状态将固定显示为“配置冲突”。

如果两台防火墙形成双机热备组网，需要同步防火墙域间策略配置，可以在已经启用“使能双机热备功能”的前提下，通过启用配置同步功能实现。配置同步功能须在“配置主”设备，即管理员直接进行Web操作的这台防火墙上使能，另一台设备将自动成为“配置备”设备。功能启用后，设备管理员只需在“配置主”防火墙的Web页面上进行对象、域间策略及其他支持同步功能的配置增删、修改操作，另一台防火墙会自动同步“配置主”防火墙的对应配置。对于接口IP地址、VRRP、路由协议等功能，配置同步不会将“配置主”的配置同步给“配置备”设备，以避免出现配置错误。因此，在初始部署两台防火墙时，如果客户需要进行配置同步，强烈建议在防火墙尚处于出厂

版权所有:杭州华三通信技术有限公司

默认配置的状态下，优先开启双机热备配置同步功能，然后先在“配置主”设备上完成全部配置，再到“配置备”设备上补全不支持同步功能的配置，这样可以有效避免两台防火墙出现配置冲突。具体的配置操作方法可查询产品用户手册。 命令：dhbk configuration-backup master synchronization 例如：在CLI管理界面中使能配置同步功能。

在Web管理界面的“高可靠性>双机热备”页签中，也可以启用双机热备配置同步功能。注意，在“配置主”设备上启用“使能双机热备功能”和“作为配置同步的主设备”，在“配置备”设备上启用“使能双机热备功能”

即可。系统会自动勾选两台防火墙的“自动同步更新配置”选项。配置完成后，正常情况下同步状态将显示为“ 自动同步更新配置”。

如下图所示，成功使能双机热备配置同步的“配置主”防火墙状态：

如下图所示，成功使能双机热备配置同步的“配置备”防火墙状态：

版权所有:杭州华三通信技术有限公司

请拨打热线400-810-0504

版权所有:杭州华三通信技术有限公司