防火墙的接口访问管理机制是什么?
接口访问管理机制是什么?与安全策略什么关系,与安全策略比较的话区别是什么?缺省情况下,接口开启了访问控制管理功能。
在接口上启用访问管理功能后,service-manage命令缺省情况下,管理接口下 HTTP、HTTPS、Ping权限都是放开的,不需要配置任何安全策略,就能通过管理口访问到设备。非管理口下 HTTP、HTTPS、Telnet、Ping、SSH、SNMP、NETCONF权限都是关闭的。此时,即使放开了接口所在安全域到local的安全策略,也不能通过该接口访问设备。
配置安全策略后,需要关闭访问管理功能。由于service-manage功能的优先级高于安全策略,开启了接口的访问管理控制功能后,即使配置了相关的安全策略也无法通过接口管理设备。
Service-manage功能校验的是管理流量入接口是否开启,比如管理流量从FW1口进入,但是管理的是2口的ip,那么1口访问管理需要开启并开启对应的访问管理协议,否则需要通过安全策略来放行。
经常遇到的场景,例如外网用户通过ssl vpn拨号访问FW内网接口ip,此时管理流量是从外网口进入,但是管理的目的ip是配置在fw内网接口的,此时外网口需要开启访问管理总开关并开启对应协议,否则需要安全策略放行。
或者例如GRE场景,对端通过gre隧道访问本端FW内网接口ip,此时流量入接口是tunnel口,该接口下需要开启访问管理总开关并开启对应协议,否则需要安全策略放行。
针对于访问local的管理流量,如果流量入接口访问管理是开启的,那么访问管理优先级大于安全策略。如果需要针对ip做控制,则需要关闭入接口访问管理总开关,通过安全策略来控制。
页:
[1]