评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
如何为HTTP、HTTPS和RESTCONF开放安全策略
防火墙提供了简单易用的Web UI。用户从浏览器访问承载在防火墙上的HTTP Server,可以完成绝大部分的配置管理工作。缺省情况下,防火墙启用HTTPS服务,服务端口为8443,且不可修改。从浏览器发起的HTTP访问会被重定向到HTTPS。
RESTCONF以HTTP协议的方法提供了NETCONF协议的核心功能,编程接口符合IT业界流行的RESTful风格,为用户提供高效开发Web化运维工具的能力。RESTCONF承载在HTTPS服务上,默认服务端口为8447(部分版本支持选择HTTP服务,端口为8448)。
图7-4 HTTP和RESTCONF访问关系
![]()
从浏览器访问Web UI,或者通过RESTCONF接口访问防火墙,都需要配置安全策略。对于访问交换机的Web UI和RESTCONF流量,也需要开放相应的安全策略,这里以HTTPS(443)和RESTCONF(8443)。
表7-7 安全策略示例-RESTCONF
序号 |
名称 |
源安全区域 |
目的安全区域 |
源地址/地区 |
目的地址/地区 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|
101 |
Allow web ui of firewall |
trust |
local |
10.1.1.10/24 |
10.1.1.1/24 |
https (TCP: 8443) |
permit |
102 |
Allow restconf of firewall |
trust |
local |
10.1.1.10/24 |
10.1.1.1/24 |
restconf (TCP: 8447) |
permit |
103 |
Allow web ui of switch |
trust |
untrust |
10.1.1.10/24 |
10.1.2.10/24 |
https (TCP: 443) |
permit |
104 |
Allow restful of switch |
trust |
untrust |
10.1.1.10/24 |
10.1.2.10/24 |
restconf (TCP: 8443) |
permit |
