对F100-m-g通过web控制台恢复出厂设置后,通过console口能看到G0口默认的IP地址192.168.0.1,PC机配置相同网段IP后无法ping通,同时telnet端口也不通。在console通过命令reset saved-configuration重启防火墙问题依旧,后来在启动防火墙时Ctrl+B调出菜单Skip Current System Configuration,重新配置IP地址仍然不通。由于操作防火墙期间PC上安装又卸载端口映射软件“NAT123映射解析”,于又重启了操作系统,甚至切换到另一个VHD系统情况依然。脑袋里想着恢复出厂默认就应该能直接访问管理web页面,又是网上查询华三防火墙web访问的配置,无非就是启用ip http enable以及配用户及授权等,都无济于事,无数次的ping和telnet操只是迷失方向的表现,白白浪费了近2个小时,还搞得头昏脑胀。最后从恢复之前的备份防火墙配置才正常访问web控制台,排除了之前的种种错误猜测。
今天才看到一博文华三防火墙出厂配置默认是无法访问web管理页面,需要配置域间策略默认转发规则命令interzone policy default by-priority,允许设备按照域间优先级和域内转发报文。老版本Firewall在缺省默认情况下不转发任何报文,需要执行命令firewall packet-filter default permit使其默认转发 。
1处理未接触的厂商设备时须先要从网上查询尽量详细的信息(了解越多迷茫越少)。2遇到问题时重复操作3遍就要停下来思考解决方向(错误的重复不仅无用还让人疲惫)。3给解决问题偿试方向定个时间10分钟不行立即停止想其它方向(不要在一棵树上吊死)
(1) 优先级访问策略状态,安全域之间的访问规则如下:
• 在系统视图下,执行 interzone policy default by-priority 命令,系统会工作在优先级访问策略状态。
• 同一安全域之间,默认访问策略为 permit。
• 高优先级安全域到低优先级安全域之间,默认访问策略为 permit。
• 安全域到 Local 域之间,默认访问策略为permit。
• Local 域到安全域之间,默认访问策略为permit。
• 低优先级安全域到高优先级安全域,默认访问策略为 deny,如果要实现互通访问,需要配置域间策略。
(2) 无优先级访问策略状态,安全域之间访问规则如下:
• 在系统视图下,执行 undo interzone policy default by-priority 命令,系统会工作在无优先级访问策略状态。
• 无论是缺省安全域,还是非缺省安全域,都没有优先级的概念。下述接口之间的报文要实现互访,必须在安全域间实例上配置安全策略,而且只有匹配放行策略的报文,才允许通过,否则系统默认丢弃这些接口之间发送的报文:
a. 处于非安全域的接口之间
b. 同一个安全域的接口之间
c. 处于不同安全域的接口之间
d. 处于安全域的接口和处于非安全域的接口之间
e. 目的地址或源地址为本机的报文,缺省会被丢弃,若该报文与域间策略匹配,则由域间策略进行安全检查,并根据检查结果放行或丢弃。
当终端经过防火墙设备出现不通时需要排查:1域间策略,2访问流量的走向。
参考:
https://www.cnblogs.com/walkersss/p/12104140.html
https://www.h3c.com/cn/d_200711/318135_30005_0.htm
https://www.h3c.com/cn/d_202001/1271845_30005_0.htm
https://blog.csdn.net/weixin_34117211/article/details/92696135
http://cdh3c.com/news/15614.html
