USG3000 V100R002版本,配置除内网部分网段终端允许使用P2P,游戏和炒股软件后,整个内网都无法使用此类软件

发布时间:  2012-07-18 浏览次数:  142 下载次数:  0
问题描述
某局点的USG3000 V100R002 UTM项目中
客户需求将内网中的某些IP段允许P2P软件的使用,允许游戏和炒股,其余的终端全部限制,配置了一条默认全部禁止后,配置允许某个内网网段为源IP地址,
flow-manager application-rule id 1 permit source-ip 10.39.182.0 26 stock
flow-manager application-rule id 2 deny stock
配置后发现所有网段均禁止,不能实现某内网网段为允许使用游戏及炒股软件。
告警信息
处理过程
在配置允许某个内网网段为源IP地址后,再配置一条允许某个内网网段为目的IP地址的规则;
flow-manager application-rule id 1 permit source-ip 10.39.182.0 26 stock
flow-manager application-rule id 2 deny stock
flow-manager application-rule id 3 permit destination-ip 10.39.182.0 26 stock
或者配置一个更大的网段,利用精确优先的原理:
flow-manager application-rule id 1 permit source-ip 10.39.182.0 26 game
flow-manager application-rule id 2 deny source-ip 10.39.0.0 16 game
在规则默认情况下,不配置目的地址禁止,即全网段为默认允许
根因
当配置默认全部禁止规则时,禁止的是包括内网和外网所有IP段,即外网发往内网的数据也无法通过,所以,在配置全部默认禁止后,如果用户需要允许某内网网段使用上述软件,需要配置允许规则需要配置双向。即基于这一网段配置两条规则:一条为源地址允许,一条为目的地址允许.
建议与总结
在不手工配置规则情况下,规则即为默认允许。
两种配置方式思路:
前者:规则中配置了源地址、目的地址全为ANY在禁止情况下,表示所有网段(不论内网外网)全禁止,此时需要配置双向规则来使某些主机可以使用游戏软件;
后者: 在不手工配置规则情况下,规则即为默认允许,所以,后者的配置方式是全部基于源地址的规则,针对外网的、目的地址为内网网段的规则无需配置,默认为允许。
所以在配置上后者相对简单,且占用规则数相对较少。

END