FAQ-NGFW防火墙包过滤和接口访问管理的关系

发布时间:  2016-06-30 浏览次数:  254 下载次数:  0
问题描述
NGFW防火墙包过滤和接口访问管理的关系?
解决方案
防火墙的service-manage enable命令用来开启接口的访问管理功能,和service-manage { http | https | ping | ssh | snmp | telnet } { permit | deny }配合使用来控制接口的http、https、telnet、ping等协议的访问权限。

访问管理的优先级要高于包过滤。即启用访问管理功能时,设备会以访问管理中配置为准来判断能否用相应的协议来管理设备;未启用访问管理功能(undo service-manage enable)时,设备才会根据包过滤的结果来判断。

对于USG V300R001设备,接口下默认是未开启访问管理功能。此时只要到local域安全策略动作为permit,就能访问设备。

对于NGFW设备,接口下默认是开启了访问管理功能的,但是http、https、telnet、ping等权限都是关闭的。此时,即使配置了到local域permit的安全策略,也不能访问设备。因为访问管理功能的优先级高于包过滤。另外,service-manage也只能管控进入设备的报文,对于出设备的报文还是由安全策略控制。

END