USG6650配置指定用户web网管失败

发布时间:  2015-01-17 浏览次数:  335 下载次数:  4
问题描述

由于办公用户大都在同一网段,网络管理员希望只有其自身电脑的IP可以进行web管理设备,而其他非法IP不能web登录设备。

告警信息
处理过程

1.  usg6650网管侧的接口下禁用https服务。

2.  在安全策略视图下基于默认策略再创建2条安全策略,第一条是permit指定的几个IP可以web管理设备,第二条策略是deny其他所有的IP进行web管理设备,默认策略这里是放行其他流量。

3.  配置完成,测试后发现不能禁止非法IP通过web登录设备。

根因
为了使配置的安全策略生效,不能单独禁用接口下的https服务,而必须在接口下使用命令undo service-manage enable来禁用该接口下的所有服务之后,设备才会启用安全策略检查。
解决方案

在接口下使用命令undo service-manage enable来禁用该接口下的所有服务,并在web界面的该接口视图下,取消勾选所有服务

建议与总结

USG6650上配置安全策略时,对于针对特定服务的配置,必须首先在接口下取消选中所有服务或者接口视图下配置命令undo service-manage enable,然后再配置具体的策略,必须全部禁用接口下的所有服务之后,配置的安全策略才能生效

END