USG2100透明模式安全策略限制不生效
发布时间: 2019-07-20 | 浏览次数: 1186 | 下载次数: 0 | 作者: cWX536825 | 文档编号: EKB1001771010
目录
问题描述
USG2100通过透明模式部署,防火墙Ethernet1/0/1属于untrust区域,Ethernet1/0/0属于trust区域,接口配置的access模式,加入的VLAN2。反馈trust和untrust接口间配置的安全策略不生效,从untrust区域下的设备始终能访问trust区域下的设备,当前防火墙系统版本V300R001C10SPC500
处理过程
1.USG2100是老防火墙,首先通过display firewall packet-filter default all反馈下当前域间策略,发现当前所有策略都已经放行了
转存失败重新上传取消
2.当前要实现untrust区域不能访问trust区域,修改配置执行firewall packet-filter default deny interzone trust untrust direction inbound测试
3.执行如上命令行后untrust区域还是能访问trust区域下的设备,从untrust区域下的62.10.10.254还是能够ping通trust区域下的62.10.10.1,执行display firewall session table verbose source inside 62.10.10.254 destination inside 62.10.10.1查看会话发现会话数为0
4.设备一直在长ping并且能通,但防火墙没有会话,说明数据报文可能没有上送CPU处理,查找手册得知老款的设备有交换板卡,如果一进一出的接口都是交换板卡的接口,那么数据直接走板卡,不会上升到CPU处理,所以安全策略是不生效的
5.要让数据报文通过防火墙上送CPU处理,因此需要将设备默认三层接口切换成二层口并接入网络中,具体操作:将eth0/0/0切换成交换口并加入untrust区域连接外网设备,并执行undo l2fwdfast enable禁止二层接口快速转发功能即可
根因
1.老款的设备有交换板卡,如果一进一出的接口都是交换板卡的接口,那么数据直接走板卡,不会上升到CPU处理,所以安全策略是不生效的,当前USG2100的Ethernet1/0/0到Ethernet1/0/7口属于二层交互接口卡,但是设备自身的Ethernet0/0/0口属于三层接口,因此将该接口切换成二层并接入网络即可
2.当设备开启二层接口快速转发功能后,二层转发业务不处理安全功能模块,因此需要关闭该功能
3.此次案例的产品型号:USG2120BSR,对应版本V300R001C10SPC500。如果遇到老防火墙的接口名称类似如 Ethernet1/0/1-Ethernet1/0/X,该序号的所有接口不支持配置IP地址,那么这种Ethernet1/0/X属于二层接口卡,需要将另外的三层接口切换成二层口接入网络中,以达到报文可以上送CPU处理,实现安全策略控制
解决方案
将防火墙默认三层口eth0/0/0切换成交换口并加入untrust区域连接外网设备,并执行undo l2fwdfast enable禁止二层接口快速转发功能即可