USG VXR5版本和TSM联动时是否可以实现对放行IP访问限制

发布时间:  2012-07-19 浏览次数:  64 下载次数:  0
问题描述
之前我们交付终端安全项目,针对所有终端网段引流,而部分IP可能不想受TSM控制,默认放行,我们一般都是配置在ACL 3099里配置Permit ip规则放行;这些放行的IP可以随意访问目的地址、端口应用等;  但某客户希望针对某些IP放行,但又不希望这些源IP可以不受控制的随意访问,而我们之前制定的规则如下,是无法达到客户目的
policy right-manager
policy 0
  action permit
   policy source 10.1.1.1 0
   policy source 10.1.1.11 0
告警信息
处理过程
修改后的关键配置如下: 
policy interzone trust untrust outbound
apply packet-filter right-manager
 
policy right-manager
policy 0
  action permit
  policy service service-set ftp  //设置目的服务或端口
  policy source 10.1.1.1 0
policy source 10.1.1.11 0
  policy destination 172.2.1.1 0   //设置只能访问的目的IP
 
注意以上配置完成后,还要重新Enable Policy下,如下:
 
[USG5300-policy-rightmanager]pol 0 enable  
根因
以上为USG VXR5版本下和TSM联动的Policy配置,策略里仅配置了Source ip,没有配置Destination IP和目的Service端口,如果要达成以上客户控制目的,需要配置目的IP和端口;
建议与总结

注意:

1 USG VXR5版本和之前版本的TSM联动配置命令相差很大,但是默认联动ACL还是3099;

2 VXR5版本,Policy ID只能从0~999

END