防火墙的接口访问管理机制是什么？

小乔

接口访问管理机制是什么？与安全策略什么关系，与安全策略比较的话区别是什么？



缺省情况下，接口开启了访问控制管理功能。

在接口上启用访问管理功能后，service-manage命令缺省情况下，管理接口下 HTTP、HTTPS、Ping权限都是放开的，不需要配置任何安全策略，就能通过管理口访问到设备。非管理口下 HTTP、HTTPS、Telnet、Ping、SSH、SNMP、NETCONF权限都是关闭的。此时，即使放开了接口所在安全域到local的安全策略，也不能通过该接口访问设备。

配置安全策略后，需要关闭访问管理功能。由于service-manage功能的优先级高于安全策略，开启了接口的访问管理控制功能后，即使配置了相关的安全策略也无法通过接口管理设备。



Service-manage功能校验的是管理流量入接口是否开启，比如管理流量从FW1口进入，但是管理的是2口的ip，那么1口访问管理需要开启并开启对应的访问管理协议，否则需要通过安全策略来放行。



经常遇到的场景，例如外网用户通过ssl vpn拨号访问FW内网接口ip，此时管理流量是从外网口进入，但是管理的目的ip是配置在fw内网接口的，此时外网口需要开启访问管理总开关并开启对应协议，否则需要安全策略放行。

或者例如GRE场景，对端通过gre隧道访问本端FW内网接口ip，此时流量入接口是tunnel口，该接口下需要开启访问管理总开关并开启对应协议，否则需要安全策略放行。



针对于访问local的管理流量，如果流量入接口访问管理是开启的，那么访问管理优先级大于安全策略。如果需要针对ip做控制，则需要关闭入接口访问管理总开关，通过安全策略来控制。