使用域间策略限制部分用户登陆USG防火墙不生效

发布时间:  2014-09-12 浏览次数:  454 下载次数:  0
问题描述
客户使用到防火墙本地的安全策略配置只允许部分特定IP通过https访问设备,但是配置不生效,其他不允许访问的IP仍然能登录防火墙。
设备版本信息:USGV300R001
告警信息
处理过程
按照问题的可能原因,逐步进行排查:
(1) 检查防火墙的默认包过滤策略,发现到防火墙本地的默认包过滤是deny的,如下:

    firewall packet-filter default permit interzone local trust direction inbound
    firewall packet-filter default permit interzone local trust direction outbound
    firewall packet-filter default permit interzone local untrust direction outbound
    firewall packet-filter default permit interzone local dmz direction outbound 
    firewall packet-filter default permit interzone trust untrust direction outbound

(2) 检查到防火墙本地的inbound方向的安全策略配置,域间配置的IP地址范围并不大,也没有包括当前登录成功用户的IP地址,如下:

    policy interzone local untrust inbound
    policy 1
      action permit
      policy source x.22.16.200 0
      policy source 10.1.235.10 0
      policy source 10.110.3.0 mask 24
      policy source x.113.214.38 0

(3) 继续检查防火墙配置发现,在untrust域的接口g0/0/0下配置了service-manage功能,如下:

    interface Ethernet0/0/0
    alias WAN0
    ip address y.x.156.92 255.255.255.240
    service-manage enable
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit

service-manage功能是专门用于web配置的管理命令。用户可以通过该命令控制是否允许访问防火墙设备。配置上述命令后,任何用户都能通过上述配置为permit的协议接入防火墙。该功能的优先级高于到防火墙本地的域间安全策略。配置该功能后,到防火墙本地的域间的安全策略就不生效了。
根因
(1) 到本地的默认安全策略是permit的。
(2) 安全策略配置的IP地址范围太大。
(3) 安全策略没有生效。
建议与总结
service-manage功能开启后,就打开了所有用户到防火墙本地的管理权限。域间安全策略就不生效了。
如果要通过到防火墙本地的安全策略对接入管理防火墙设备的用户进行精确的限制,可以关闭service-manage功能,并在相应域间配置到防火墙本地的安全策略。

END