前面使用域間策略驗證了設備的上線效果，這種配置方法是長期使用老版本設備命令行操作留下來的習慣。現在版本更新很快，WEB頁面功能更加完善，其中新版本主推的安全策略配置功能，操作也很方便。

首先在命令行移除了域間策略部分配置：

undo security-zone intra-zone default permit

需要注意的是，vFW默認沒有開啟HTTPS，需要在命令行開啟，并為登錄用戶增加HTTPS登錄權限，同時建議修改默認端口號。

#

ip https port 8443

ip https enable

#

local-user tietou class manage

password simple [email protected]

service-type https

authorization-attribute user-role network-admin

然后就可以使用進行登錄了。隨后在WEB頁面增加安全策略配置：

過程中發現ping報文有丟失，增加安全策略后恢復，說明域間策略和安全策略是可以共存生效的。

開啟統計之后還可以看到命中策略的流量和會話信息。

點擊會話查看能直接查看到命中該策略的會話信息。

TEST1：域間策略和安全策略的生效關系怎么樣？

1、已知沒有域間策略或安全策略的情況下互訪流量是被設備阻斷的，并且安全策略或者安全策略任意一個配置放通，則互訪流量可以通過；

2、由1可知，配置域間策略或安全策略其中一個放通即可實現互訪，則同時配置兩個策略互通流量肯定是放通的；

3、修改配置安全策略為放通、域間策略為阻斷，發現流量是通的，并且測試安全策略先配置生效和后配置生效效果相同；

4、修改配置域間策略為放通、安全策略為阻斷，發現流量是不通的，并且測試安全策略先配置生效和后配置生效效果相同。

執行效果如下圖：

綜上，說明安全策略的優先級高于域間策略，如果兩者同時存在的話，會執行安全策略的配置。

TEST2：域間策略匹配順序是怎樣的？

驗證操作需要將兩臺設備的安全域分開，新建兩個安全域VM1和VM2，并將兩個接口放到對應安全域下面。

1、已經明確的匹配順序：精確的域間策略優先于模糊的或者默認的域間策略，所以先創建一條any到any的域間策略，動作放行，測試兩端設備正常通信；

2、創建兩條域間策略any-VM2以及VM1-any，分別應用兩條ACL做包過濾，配置3001和3002，首先規則為空；

3、修改any-VM2域間策略為放通，發現網絡不通；

4、修改VM1-any域間策略為放通，發現網絡正常通信；

5、驗證操作3和4的測試結果，在存在VM1-any的域間策略時，修改any-VM2的域間策略，不影響網絡連通性。

結論：域間策略匹配優先級順序如下：

A→B ＞ A→any ＞ any→B ＞ any→any。

測試過程中，通過debug aspf packet，可以看到報文阻斷原因。本例中，可以看出是被包過濾或者對象策略阻斷，實際是包過濾阻斷；源域是VM1，目的域是VM2，入接口是G2/0，出接口是G3/0，未匹配VPN實例；還可以看到簡要的報文信息，為ICMP和TCP報文。

TEST3：安全策略匹配順序是怎樣的？

已知的匹配順序是按照顯示順序進行匹配的，測試添加一條any到any的放通規則，發現后面再添加3條精確的阻斷策略，仍然可以互訪。

命令行配置顯示如下：

發現安全策略是有規則編號的，匹配順序也是按照策略規則順序進行匹配的，當在WEB頁面調整顯示順序時，命令行配置順序也會對應改變，但是規則編號不變。

調整阻斷規則到放通規則之前，發現流量被阻斷；查看命令配置，配置順序被同步調整，規則編號沒有變化。

結論：安全策略的匹配順序是按照顯示順序進行順序匹配的。所以在配置時應當避免在第一條配置生效的any到any的放通策略，這樣就失去了防火墻的功能；同時為了保證配置生效，新增精確規則時，建議調整精確規則到模糊規則的前面。

TEST4：策略冗余分析功能

新版本的防火墻增加了安全策略冗余分析功能，可以通過分析安全策略中的過濾條件識別出冗余的策略，從而有利于達到精簡策略的目的。過濾條件具體包括：源安全域、目的安全域、源IP/mac地址、目的IP地址、用戶、應用、服務、VRF和時間段等。

設備會將高優先級的策略依次與低優先級的策略進行遍歷比較，只要符合以下兩種情況的任意一種，則認定為冗余：

·所有過濾條件完全相同的安全策略，則低優先級的安全策略會被認定為冗余；

·安全策略A的所有過濾條件被安全策略B完全包含，且安全策略A的優先級低于安全策略B，則安全策略A會被認定為冗余。

策略冗余分析可以在沒有流量經過設備時進行分析，因此該功能可以在安全策略配置完成后立即進行。在冗余分析結果中修改安全策略配置后，設備會自動再次進行策略冗余分析，以便使冗余分析結果更加準確。

點擊"開始分析"，結果顯示出兩條安全策略。按照過濾條件，配置的規則中只符合源安全域和目的安全域兩個條件，符合第二種情況，可以參考域間策略優先級，any到B和any到any的策略被提示冗余。

不過這個功能一般用不到，因為平時最多不過配置幾十條策略，使用這個功能的分析結果較大概率與實際需求不匹配。

TEST5：策略命中分析功能

新版本的防火墻還增加了安全策略命中分析功能，可以分析出指定時間段內的安全策略是否被命中過，并將未命中的安全策略按照從高到低的優先級順序進行呈現，以幫助管理員對設備上的安全策略進行深度分析和處理。

只要符合如下兩種情況中的任意一種，則認為策略未命中：

·流量不符合安全策略的過濾條件；

·安全策略之間存在深度冗余，例如IP地址和用戶的冗余、應用和服務的冗余等。這樣會由于高優先級的策略被命中，而導致低優先級的策略未命中。

可看到分析出兩條策略，命中結果均為未命中。

但是實際使用場景中用處不大，不比在策略配置中開啟策略匹配統計，在安全策略中查看命中次數來的只關一點。