防火墙出口策略

问题：在配置好防火墙后，出口流量数据经过新建的多个策略时，怎么看它进过了哪些指定的策略？执行该策略的时候，结果是什么样的？

第一，一个典型的排查工作流如下。
1、明确测试流量：确定源IP、目的IP、端口和协议。
2、使用诊断命令（如果可用）：在防火墙上使用 test security-policy-match 或 diagnose firewall packet-filter 来预测流量会匹配哪条策略。这是最快的方法。
3、配置并查看日志：确保策略日志已开启，然后生成真实流量，在日志系统中确认匹配的策略ID和动作。
4、检查会话表：如果动作是“允许”，去会话表中确认连接是否已建立。
5、深入排查：如果结果不符合预期（例如，策略是允许但连接仍失败），则需要检查如下三点。
（1）路由表：防火墙是否有去往目的地的路由。
（2）安全配置文件：是否被IPS、AV、URL过滤等功能阻断？查看对应的安全事件日志。
（3）NAT配置：NAT是否正确执行。

接下来针对问题详细说一下。

第一是如何查看流量经过了哪些指定的策略，这个的核心思想是启用日志记录和使用诊断工具。防火墙的策略匹配是从上到下、逐条进行的，直到找到第一条匹配的策略为止。具体可以分为以下三种常见的方法。

一、方法1：通过策略日志：这是最标准的方法，但是你需要确保你关心的那些策略已经启用了日志记录功能，操作步骤如下。

1、配置策略日志：在创建或编辑防火墙策略时，找到“日志”或“记录”选项。确保勾选了 “记录安全事件”、“记录策略匹配” 或类似的选项。对于调试，一般可以选择记录 “所有会话” 而不仅仅是威胁会话。有些防火墙在高级选项里允许你为策略设置独特的日志描述或标签，便于后续筛选。

2、生成流量：从你的源IP（例如 192.168.1.100）访问一个外部目标（例如 8.8.8.8 的 80 端口）。

3、查看日志：登录防火墙的管理界面，找到 “日志” 或 “监控” 区域。选择 “策略日志”、“流量日志” 或 “安全事件日志”。关键筛选条件包括有，源IP/目的IP、源端口/目的端口和协议等。另外在日志结果中，你会看到一条明确的记录，其中包含了策略ID/名称、动作、入站/出站接口和时间戳。
最后，如果你在日志中看到了某条策略的匹配记录，那就证明流量的确 经过了这条策略并被它处理。由于策略匹配的顺序性，你一般只会看到一条匹配的策略日志，这就是最终处理该流量的策略。

二、方法2：使用数据包捕获（Packet Capture）：如果日志不够清晰，或者你想看到最底层的交互过程，可以使用抓包功能，操作步骤如下。

1、在防火墙上配置一个数据包捕获任务。
2、设置过滤条件，准确到你的测试流量（例如 host 192.168.1.100 and host 8.8.8.8）。
3、执行流量测试。
4、停止捕获并分析数据包，此时可以看到数据包进入和离开防火墙的完整过程，结合看到的策略动作（列如被丢弃了），可以反向推断出是哪条策略生效了。

三、方法3：使用防火墙诊断工具（CLI/专家模式）：大多数专业防火墙（如 FortiGate, Palo Alto, Check Point）都提供了强劲的命令行诊断工具，方法3是最准确的，由于它直接查询防火墙的策略匹配逻辑，而无需生成真实流量。

1、FortiGate:
bash
# 使用数据包嗅探器（类似于tcpdump）
diagnose sniffer packet any “host 8.8.8.8” 4
# 使用内核策略诊断，它能显示策略匹配的详细过程！
diagnose firewall packet-filter source <源IP> destination <目的IP> protocol <协议> sport <源端口> dport <目的端口>
这个 diagnose firewall packet-filter 命令会模拟一个数据包并告知你它匹配了哪条策略，以及是被允许还是拒绝。这是最强劲的调试工具。
2、Palo Alto Networks:
bash
# 使用测试策略匹配工具
test security-policy-match source <源IP> destination <目的IP> protocol <协议> destination-port <端口>
这个命令会直接告知你数据包会匹配哪条安全策略。

第二个问题，当流量匹配到一条策略后，执行结果主要包括以下几个方面。

一、最终动作（Action）：这是最核心的结果，包括允许 / 接受、拒绝 / 丢弃、拒绝和丢弃。

二、会话表项创建：如果策略动作是 “允许”，防火墙会创建一个会话表项，这是一个“连接跟踪”记录。防火墙会记住这个连接（源IP、目的IP、端口、协议等），后续属于同一个会话的数据包（如返回的流量）将直接根据这个会话来处理，而无需再次进行复杂的策略匹配，这大大提高了性能。在防火墙上一般可以查看会话表（如 get firewall session list 或 show session all）。你会看到你的连接条目，其状态可能是 ESTABLISHED。

三、安全策略的附加处理：现代防火墙的策略不仅仅是“允许/拒绝”，还会集成高级安全功能，例如UTM（统一威胁管理） / NGFW（下一代防火墙）功能。

1、IPS（入侵防御系统）： 如果策略启用了IPS，允许的流量会被深度检测，如果发现攻击特征，即使策略是“允许”，该数据包也可能被阻断。
2、AV（防病毒）： 流量中的文件会被扫描，如果发现病毒，文件会被阻断或清除。
3、URL/应用过滤： 流量会被识别属于哪个网站或应用（如Facebook, WeChat），即使IP和端口是允许的，但如果URL或应用在禁止列表中，访问也会被阻断。
4、SSL解密： 如果是HTTPS流量，策略可能要求对其进行解密，以便进行上述安全检查。

四、网络地址转换（NAT）：策略一般会关联NAT规则。
1、源NAT： 你的内网IP（192.168.1.100）在出站时会被转换为防火墙的公网IP。这是最常见的“IP伪装”。
2、目的NAT： 将到达防火墙公网IP端口的流量，转发给内网的服务器。

来源 华为O3论坛