前面使用域間策略驗(yàn)證了設(shè)備的上線效果，這種配置方法是長(zhǎng)期使用老版本設(shè)備命令行操作留下來的習(xí)慣。現(xiàn)在版本更新很快，WEB頁(yè)面功能更加完善，其中新版本主推的安全策略配置功能，操作也很方便。

首先在命令行移除了域間策略部分配置：

undo security-zone intra-zone default permit

需要注意的是，vFW默認(rèn)沒有開啟HTTPS，需要在命令行開啟，并為登錄用戶增加HTTPS登錄權(quán)限，同時(shí)建議修改默認(rèn)端口號(hào)。

#

ip https port 8443

ip https enable

#

local-user tietou class manage

password simple [email protected]

service-type https

authorization-attribute user-role network-admin

然后就可以使用進(jìn)行登錄了。隨后在WEB頁(yè)面增加安全策略配置：

過程中發(fā)現(xiàn)ping報(bào)文有丟失，增加安全策略后恢復(fù)，說明域間策略和安全策略是可以共存生效的。

開啟統(tǒng)計(jì)之后還可以看到命中策略的流量和會(huì)話信息。

點(diǎn)擊會(huì)話查看能直接查看到命中該策略的會(huì)話信息。

TEST1：域間策略和安全策略的生效關(guān)系怎么樣？

1、已知沒有域間策略或安全策略的情況下互訪流量是被設(shè)備阻斷的，并且安全策略或者安全策略任意一個(gè)配置放通，則互訪流量可以通過；

2、由1可知，配置域間策略或安全策略其中一個(gè)放通即可實(shí)現(xiàn)互訪，則同時(shí)配置兩個(gè)策略互通流量肯定是放通的；

3、修改配置安全策略為放通、域間策略為阻斷，發(fā)現(xiàn)流量是通的，并且測(cè)試安全策略先配置生效和后配置生效效果相同；

4、修改配置域間策略為放通、安全策略為阻斷，發(fā)現(xiàn)流量是不通的，并且測(cè)試安全策略先配置生效和后配置生效效果相同。

執(zhí)行效果如下圖：

綜上，說明安全策略的優(yōu)先級(jí)高于域間策略，如果兩者同時(shí)存在的話，會(huì)執(zhí)行安全策略的配置。

TEST2：域間策略匹配順序是怎樣的？

驗(yàn)證操作需要將兩臺(tái)設(shè)備的安全域分開，新建兩個(gè)安全域VM1和VM2，并將兩個(gè)接口放到對(duì)應(yīng)安全域下面。

1、已經(jīng)明確的匹配順序：精確的域間策略優(yōu)先于模糊的或者默認(rèn)的域間策略，所以先創(chuàng)建一條any到any的域間策略，動(dòng)作放行，測(cè)試兩端設(shè)備正常通信；

2、創(chuàng)建兩條域間策略any-VM2以及VM1-any，分別應(yīng)用兩條ACL做包過濾，配置3001和3002，首先規(guī)則為空；

3、修改any-VM2域間策略為放通，發(fā)現(xiàn)網(wǎng)絡(luò)不通；

4、修改VM1-any域間策略為放通，發(fā)現(xiàn)網(wǎng)絡(luò)正常通信；

5、驗(yàn)證操作3和4的測(cè)試結(jié)果，在存在VM1-any的域間策略時(shí)，修改any-VM2的域間策略，不影響網(wǎng)絡(luò)連通性。

結(jié)論：域間策略匹配優(yōu)先級(jí)順序如下：

A→B ＞ A→any ＞ any→B ＞ any→any。

測(cè)試過程中，通過debug aspf packet，可以看到報(bào)文阻斷原因。本例中，可以看出是被包過濾或者對(duì)象策略阻斷，實(shí)際是包過濾阻斷；源域是VM1，目的域是VM2，入接口是G2/0，出接口是G3/0，未匹配VPN實(shí)例；還可以看到簡(jiǎn)要的報(bào)文信息，為ICMP和TCP報(bào)文。

TEST3：安全策略匹配順序是怎樣的？

已知的匹配順序是按照顯示順序進(jìn)行匹配的，測(cè)試添加一條any到any的放通規(guī)則，發(fā)現(xiàn)后面再添加3條精確的阻斷策略，仍然可以互訪。

命令行配置顯示如下：

發(fā)現(xiàn)安全策略是有規(guī)則編號(hào)的，匹配順序也是按照策略規(guī)則順序進(jìn)行匹配的，當(dāng)在WEB頁(yè)面調(diào)整顯示順序時(shí)，命令行配置順序也會(huì)對(duì)應(yīng)改變，但是規(guī)則編號(hào)不變。

調(diào)整阻斷規(guī)則到放通規(guī)則之前，發(fā)現(xiàn)流量被阻斷；查看命令配置，配置順序被同步調(diào)整，規(guī)則編號(hào)沒有變化。

結(jié)論：安全策略的匹配順序是按照顯示順序進(jìn)行順序匹配的。所以在配置時(shí)應(yīng)當(dāng)避免在第一條配置生效的any到any的放通策略，這樣就失去了防火墻的功能；同時(shí)為了保證配置生效，新增精確規(guī)則時(shí)，建議調(diào)整精確規(guī)則到模糊規(guī)則的前面。

TEST4：策略冗余分析功能

新版本的防火墻增加了安全策略冗余分析功能，可以通過分析安全策略中的過濾條件識(shí)別出冗余的策略，從而有利于達(dá)到精簡(jiǎn)策略的目的。過濾條件具體包括：源安全域、目的安全域、源IP/mac地址、目的IP地址、用戶、應(yīng)用、服務(wù)、VRF和時(shí)間段等。

設(shè)備會(huì)將高優(yōu)先級(jí)的策略依次與低優(yōu)先級(jí)的策略進(jìn)行遍歷比較，只要符合以下兩種情況的任意一種，則認(rèn)定為冗余：

·所有過濾條件完全相同的安全策略，則低優(yōu)先級(jí)的安全策略會(huì)被認(rèn)定為冗余；

·安全策略A的所有過濾條件被安全策略B完全包含，且安全策略A的優(yōu)先級(jí)低于安全策略B，則安全策略A會(huì)被認(rèn)定為冗余。

策略冗余分析可以在沒有流量經(jīng)過設(shè)備時(shí)進(jìn)行分析，因此該功能可以在安全策略配置完成后立即進(jìn)行。在冗余分析結(jié)果中修改安全策略配置后，設(shè)備會(huì)自動(dòng)再次進(jìn)行策略冗余分析，以便使冗余分析結(jié)果更加準(zhǔn)確。

點(diǎn)擊"開始分析"，結(jié)果顯示出兩條安全策略。按照過濾條件，配置的規(guī)則中只符合源安全域和目的安全域兩個(gè)條件，符合第二種情況，可以參考域間策略優(yōu)先級(jí)，any到B和any到any的策略被提示冗余。

不過這個(gè)功能一般用不到，因?yàn)槠綍r(shí)最多不過配置幾十條策略，使用這個(gè)功能的分析結(jié)果較大概率與實(shí)際需求不匹配。

TEST5：策略命中分析功能

新版本的防火墻還增加了安全策略命中分析功能，可以分析出指定時(shí)間段內(nèi)的安全策略是否被命中過，并將未命中的安全策略按照從高到低的優(yōu)先級(jí)順序進(jìn)行呈現(xiàn)，以幫助管理員對(duì)設(shè)備上的安全策略進(jìn)行深度分析和處理。

只要符合如下兩種情況中的任意一種，則認(rèn)為策略未命中：

·流量不符合安全策略的過濾條件；

·安全策略之間存在深度冗余，例如IP地址和用戶的冗余、應(yīng)用和服務(wù)的冗余等。這樣會(huì)由于高優(yōu)先級(jí)的策略被命中，而導(dǎo)致低優(yōu)先級(jí)的策略未命中。

可看到分析出兩條策略，命中結(jié)果均為未命中。

但是實(shí)際使用場(chǎng)景中用處不大，不比在策略配置中開啟策略匹配統(tǒng)計(jì)，在安全策略中查看命中次數(shù)來的只關(guān)一點(diǎn)。