USG6000系列NGFW的service manage enable命令导致安全策略不生效

发布时间:  2015-12-31 浏览次数:  207 下载次数:  0
问题描述

防火墙安全策略配置管理协议启用访问管理 功能(ping, http, https, telnet, ssh, snmp)不生效

处理过程

配置

端口下"undo service-manager enable"命令用来关闭端口使能管理协议功能(ping, http, https, telnet, ssh, snmp)。然后再配安全策略, 容许管理协议, 指定不同源域, 目的域, 源地址, 等等

根因

由于端口下使能service-manage enable”,但没有使能"permit"管理协议

service-manage permit ping

service-manage permit http

service-manage permit https

service-manage permit ssh

service-manage permit snmp

service-manage permit telnet

解决方案

配置

端口下undo service-manager enable命令用来关闭端口使能管理协议功能(ping, http, https, telnet, ssh, snmp)。然后再配安全策略, 容许管理协议

 

舉例

[sysname] interface GigabitEthernet 1/0/1

[sysname-GigabitEthernet1/0/1] undo service-manage enable

 

[sysname] security-policy

[sysname-policy-security] rule name untrust_local_mgmt

[sysname-policy-security-rule-untrust_local_1] source-zone untrust

[sysname-policy-security-rule-untrust_local_1] destination-zone local

[sysname-policy-security-rule-untrust_local_1] source-address x.x.x.x 0

[sysname-policy-security-rule-untrust_local_1] destination-address x.x.x.x 0

[sysname-policy-security-rule-untrust_local_1] service http ssh

[sysname-policy-security-rule-untrust_local_1] action permit

[sysname-policy-security-rule-untrust_local_1] quit

[sysname-policy-security] quit

建议与总结

开启访问管理接口的优先级高于包过滤。
当使能访问管理没有被选中,该设备确定是否基于安全策略允许分组

END