- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
故障处理
本帮助主要介绍以下功能的故障处理办法:
· 安全策略故障处理
安全策略故障处理章节主要介绍以下故障的处理办法:
· 网络互通
○ PC通过设备与其他终端相连,已配置在同一安全域,无法互相访问
PC通过网线与设备业务接口相连,IP地址为同一网段,在PC上无法Ping通设备。
图-1 组网图
安全设备必须先将与PC相连的接口加入某个安全域,并配置放行该安全域与Local安全域报文的安全策略,PC才能正常访问设备。
1. 登录设备Web管理页面。
2. 选择“网络 > 安全域”。
3. 单击某个安全域(如Trust)对应的<编辑>按钮,进入“修改安全域”页面。
4. 选择接口列表中与PC相连的接口,单击<→>按钮添加至成员列表中。
5. 单击<确定>按钮。
6. 选择“策略 > 安全策略 > 安全策略”。
7. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面。
8. 配置安全策略的匹配条件及执行动作:
○ 源安全域:Trust
○ 名称:trust-local
○ 目的安全域:Local
○ 动作:允许
○ 源IPv4地址:10.1.1.2
○ 目的IPv4地址:10.1.1.1
图-2 新建安全策略
9. 若需要设备主动访问PC,则需要配置反方向放行的安全策略:
○ 名称:local-trust
○ 源安全域:Local
○ 目的安全域:Trust
○ 动作:允许
○ 源IPv4地址:10.1.1.1
○ 目的IPv4地址:10.1.1.2
10. 单击<确定>按钮,完成配置。
PC通过与设备其他终端相连,IP地址与路由已正确配置,但无法互相访问。
图-3 组网图
安全设备必须先将接口加入相应的安全域,并配置放行对应安全域间报文的安全策略,流量才会被放行。
1. 登录设备Web管理页面。
2. 选择“网络 > 安全域”。
3. 单击某个安全域(如Trust)对应的<编辑>按钮,进入“修改安全域”页面。
4. 选择接口列表中与PC相连的接口,单击<→>按钮添加至成员列表中。
图-4 添加接口至安全域
5. 单击<确定>按钮。
6. 采用同样的方法将其他接口加入不同安全域(如Untrust)。
7. 选择“策略 > 安全策略 > 安全策略”。
8. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面。
9. 配置安全策略的匹配条件及执行动作(建议配置精确的匹配条件):
○ 名称:trust-untrust
○ 源安全域:Trust
○ 目的安全域:Unturst
○ 动作:允许
○ 源IPv4地址:10.1.1.2
○ 目的IPv4地址:20.1.1.2
图-5 新建安全策略
10. 若通过设备相连的终端需要互相访问,则需要创建双向放行的安全策略:
○ 名称:untrust-trust
○ 源安全域:Unturst
○ 目的安全域:Trust
○ 动作:允许
○ 源IPv4地址:20.1.1.2
○ 目的IPv4地址:10.1.1.2
11. 单击<确定>按钮,完成配置。
PC通过与设备其他终端相连,IP地址与路由已正确配置,且已加入相同的安全域,但无法互相访问。
图-6 组网图
安全设备缺省情况下,相同安全域间的报文是丢弃的,需要配置放行相应报文的安全策略,相同安全域的终端才能互相访问。
1. 登录设备Web管理页面。
2. 选择“策略 > 安全策略 > 安全策略”。
3. 在“安全策略”页面单击<新建>按钮,选择新建策略,进入“新建安全策略”页面。
4. 配置安全策略的匹配条件及执行动作(本例中通过设备相连的终端都属于Trust安全域):
○ 名称:trust-trust
○ 源安全域:Trust
○ 目的安全域:Trust
○ 动作:允许
○ 源IPv4地址:10.1.1.2,20.1.1.2
○ 目的IPv4地址:20.1.1.2,10.1.1.2
图-7 新建安全策略
5. 单击<确定>按钮,完成配置。
支持
