前面使用域间策略验证了设备的上线效果，这种配置方法是长期使用老版本设备命令行操作留下来的习惯。现在版本更新很快，WEB页面功能更加完善，其中新版本主推的安全策略配置功能，操作也很方便。

首先在命令行移除了域间策略部分配置：

undo security-zone intra-zone default permit

需要注意的是，vFW默认没有开启HTTPS，需要在命令行开启，并为登录用户增加HTTPS登录权限，同时建议修改默认端口号。

#

ip https port 8443

ip https enable

#

local-user tietou class manage

password simple Tietou@h3c.com

service-type https

authorization-attribute user-role network-admin

然后就可以使用进行登录了。随后在WEB页面增加安全策略配置：

 

 

过程中发现ping报文有丢失，增加安全策略后恢复，说明域间策略和安全策略是可以共存生效的。

 

开启统计之后还可以看到命中策略的流量和会话信息。

 

点击会话查看能直接查看到命中该策略的会话信息。

 

TEST1：域间策略和安全策略的生效关系怎么样？

1、已知没有域间策略或安全策略的情况下互访流量是被设备阻断的，并且安全策略或者安全策略任意一个配置放通，则互访流量可以通过；

2、由1可知，配置域间策略或安全策略其中一个放通即可实现互访，则同时配置两个策略互通流量肯定是放通的；

3、修改配置安全策略为放通、域间策略为阻断，发现流量是通的，并且测试安全策略先配置生效和后配置生效效果相同；

4、修改配置域间策略为放通、安全策略为阻断，发现流量是不通的，并且测试安全策略先配置生效和后配置生效效果相同。

执行效果如下图：

 

综上，说明安全策略的优先级高于域间策略，如果两者同时存在的话，会执行安全策略的配置。

TEST2：域间策略匹配顺序是怎样的？

验证操作需要将两台设备的安全域分开，新建两个安全域VM1和VM2，并将两个接口放到对应安全域下面。

 

1、已经明确的匹配顺序：精确的域间策略优先于模糊的或者默认的域间策略，所以先创建一条any到any的域间策略，动作放行，测试两端设备正常通信；

2、创建两条域间策略any-VM2以及VM1-any，分别应用两条ACL做包过滤，配置3001和3002，首先规则为空；

3、修改any-VM2域间策略为放通，发现网络不通；

4、修改VM1-any域间策略为放通，发现网络正常通信；

5、验证操作3和4的测试结果，在存在VM1-any的域间策略时，修改any-VM2的域间策略，不影响网络连通性。

结论：域间策略匹配优先级顺序如下：

A→B ＞ A→any ＞ any→B ＞ any→any。

测试过程中，通过debug aspf packet，可以看到报文阻断原因。本例中，可以看出是被包过滤或者对象策略阻断，实际是包过滤阻断；源域是VM1，目的域是VM2，入接口是G2/0，出接口是G3/0，未匹配VPN实例；还可以看到简要的报文信息，为ICMP和TCP报文。

 

TEST3：安全策略匹配顺序是怎样的？

已知的匹配顺序是按照显示顺序进行匹配的，测试添加一条any到any的放通规则，发现后面再添加3条精确的阻断策略，仍然可以互访。

 

命令行配置显示如下：

 

发现安全策略是有规则编号的，匹配顺序也是按照策略规则顺序进行匹配的，当在WEB页面调整显示顺序时，命令行配置顺序也会对应改变，但是规则编号不变。

 

调整阻断规则到放通规则之前，发现流量被阻断；查看命令配置，配置顺序被同步调整，规则编号没有变化。

 

结论：安全策略的匹配顺序是按照显示顺序进行顺序匹配的。所以在配置时应当避免在第一条配置生效的any到any的放通策略，这样就失去了防火墙的功能；同时为了保证配置生效，新增精确规则时，建议调整精确规则到模糊规则的前面。

TEST4：策略冗余分析功能

新版本的防火墙增加了安全策略冗余分析功能，可以通过分析安全策略中的过滤条件识别出冗余的策略，从而有利于达到精简策略的目的。过滤条件具体包括：源安全域、目的安全域、源IP/mac地址、目的IP地址、用户、应用、服务、VRF和时间段等。

设备会将高优先级的策略依次与低优先级的策略进行遍历比较，只要符合以下两种情况的任意一种，则认定为冗余：

·所有过滤条件完全相同的安全策略，则低优先级的安全策略会被认定为冗余；

·安全策略A的所有过滤条件被安全策略B完全包含，且安全策略A的优先级低于安全策略B，则安全策略A会被认定为冗余。

策略冗余分析可以在没有流量经过设备时进行分析，因此该功能可以在安全策略配置完成后立即进行。在冗余分析结果中修改安全策略配置后，设备会自动再次进行策略冗余分析，以便使冗余分析结果更加准确。

点击"开始分析"，结果显示出两条安全策略。按照过滤条件，配置的规则中只符合源安全域和目的安全域两个条件，符合第二种情况，可以参考域间策略优先级，any到B和any到any的策略被提示冗余。

 

不过这个功能一般用不到，因为平时最多不过配置几十条策略，使用这个功能的分析结果较大概率与实际需求不匹配。

TEST5：策略命中分析功能

新版本的防火墙还增加了安全策略命中分析功能，可以分析出指定时间段内的安全策略是否被命中过，并将未命中的安全策略按照从高到低的优先级顺序进行呈现，以帮助管理员对设备上的安全策略进行深度分析和处理。

只要符合如下两种情况中的任意一种，则认为策略未命中：

·流量不符合安全策略的过滤条件；

·安全策略之间存在深度冗余，例如IP地址和用户的冗余、应用和服务的冗余等。这样会由于高优先级的策略被命中，而导致低优先级的策略未命中。

可看到分析出两条策略，命中结果均为未命中。

 

但是实际使用场景中用处不大，不比在策略配置中开启策略匹配统计，在安全策略中查看命中次数来的只关一点。