如何为NETCONF开放安全策略
NETCONF(Network Configuration Protocol,网络配置协议)是一种基于XML的网络管理协议,它提供了一种对网络设备进行配置和管理的可编程方法。NETCONF协议的传输层可以是BEEP、SSH、TLS或SOAP。由于RFC协议规定必须支持SSH,所以目前SSH是NETCONF使用最广泛的传输层协议,当前华为防火墙产品仅支持SSH。
网管软件NMS作为NETCONF Client,向作为NETCONF Server的设备发起连接请求,建立SSH连接,NETCONF会话就承载在SSH连接之上。RFC 6242规定,NETCONF Server(被管设备)默认使用TCP 830端口接受NETCONF Client的SSH连接请求。多数网络设备都提供了修改NETCONF over SSH的端口的方法,你需要根据网络设备的配置,确定开放哪些端口。
对于NMS主动管理设备的流量,请参考表7-9配置安全策略。另外,在某些场景中,被管设备需要主动向网管软件注册,即Call-home。此时,被管设备主动向网管软件发起连接,需要开放相应方向的安全策略(即下表中103)。
序号 |
名称 |
源安全区域 |
目的安全区域 |
源地址/地区 |
目的地址/地区 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|
101 |
Allow NMS to firewall |
trust |
local |
10.1.1.10/24 |
10.1.1.1/24 |
netconf (TCP: 830) |
permit |
102 |
Allow NMS to switch |
trust |
untrust |
10.1.1.10/24 |
10.1.2.10/24 |
netconf (TCP: 830) |
permit |
103 |
Allow switch call-home |
untrust |
trust |
10.1.2.10/24 |
10.1.1.10/24 |
TCP: 10020 |
permit |
