1.2.2 为路由协议开放安全策略

不同于路由器和交换机产品，默认情况下，防火墙的路由协议（包括OSPF和BGP）的单播报文受安全策略控制，用户需要为它们的单播报文配置安全策略。如果想要快速接入网络，用户也可以使用undo firewall packet-filter basic-protocol enable命令取消这个控制。不同型号、不同版本的防火墙产品，其基础协议控制开关的默认情况不同，控制的协议种类也不同。具体情况请参考产品文档。

1. OSPF

OSPF邻接关系的建立过程如图1-10所示。

图1-10　OSPF邻接关系建立过程

OSPF根据链路层协议类型，将网络分为4种类型。在不同类型网络中，建立邻接关系的过程中发送OSPF报文的方式也不同，如表1-11所示。对某一种网络类型来说，只要建立邻接关系的任何一个环节使用了单播报文，就需要开放安全策略。因此，当网络类型是Broadcast、NBMA（Non-Broadcast Multiple Access，非广播多路访问）和P2MP（Point-to-Multipoint，点到多点）时，都需要开放安全策略。

表1-11　OSPF报文发送方式

考虑到OSPF邻接关系建立的过程中，邻接双方都需要主动发出OSPF报文，因此，用户需要开放双向安全策略，如表1-12所示。在防火墙参与路由计算的场景下，安全策略的源/目的安全区域是local区域（设备自身）和接口所连接的区域。OSPFv3跟OSPF类似，两者的协议号都是89。

表1-12　安全策略示例——OSPF

如果未配置安全策略，或者安全策略配置错误，则不能成功交换DD报文、不能建立OSPF邻接关系，邻接状态将停留在ExStart状态。

2. BGP

BGP的运行是通过消息驱动的，共有Open、Update、Notification、Keepalive和Route-refresh等5种消息类型。邻接设备之间首先建立TCP连接，然后通过Open消息建立BGP对等体之间的连接关系，并通过Keepalive消息确认和保持连接的有效性。对等体之间通过Update、Notification和Route refresh消息交换路由信息、错误信息和路由刷新能力信息。

BGP所有消息交互都使用单播报文，需要开放双向安全策略，如表1-13所示。BGP使用TCP端口179。

表1-13　安全策略示例——BGP