本地安全策略和接口访问控制
如前所述,防火墙作为一种安全产品,其基本设计理念就是管理网络中的业务,决定哪些流量可以通过,哪些不行。这里说的业务,也包括从防火墙发出的流量、访问防火墙的流量。针对这些流量的安全策略,其源安全区域或目的安全区域为local(代表防火墙自身),因此也叫本地安全策略。
如图2-2所示,从管理终端Ping防火墙的接口地址,是访问防火墙的流量。从防火墙Ping服务器的地址,属于从防火墙发出的流量。为它们开放的安全策略即为本地安全策略(表2-4中编号101、102)。为了对比,这里也提供了从管理终端Ping服务器的安全策略(103)。
序号 |
名称 |
源安全区域 |
目的安全区域 |
源地址/地区 |
目的地址/地区 |
用户 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|---|
101 |
Allow Mgt terminal ping firewall |
trust |
local |
10.1.1.10/24 |
10.1.1.1/24 |
any |
icmp |
permit |
102 |
Allow Firewall ping server |
local |
untrust |
10.1.2.1/24 |
10.1.2.10/24 |
any |
icmp |
permit |
103 |
Allow Mgt terminal ping server |
trust |
untrust |
10.1.1.10/24 |
10.1.2.10/24 |
any |
icmp |
permit |
是的,为了定位网络问题,你需要在防火墙上专门开放安全策略。这确实有一点复杂,但是安全。
interface GigabitEthernet 0/0/1 ip address 10.1.1.1 255.255.255.0 service-manage enable //开启接口的访问控制功能。 service-manage ping permit //允许通过Ping访问此接口。
缺省情况下,防火墙带外管理口MGMT接口已经启用接口访问控制功能,并且允许通过HTTP、HTTPS、Ping、SSH、Telnet、NETCONF和SNMP访问防火墙。其他接口也启用了接口访问控制功能,但是未允许任何协议。
需要注意的是,接口访问控制功能优先于安全策略。举例来说,如果只启用了接口的访问控制功能,而未允许通过Ping访问此接口,即使配置了安全策略101,也无法访问防火墙。如果启用了接口下的Ping访问功能,不需要配置安全策略101就可以访问防火墙了。因此,如果需要通过上述协议访问防火墙,你有两个选择:
- 选择接口访问控制:启用接口访问控制功能,并允许指定的协议。
- 选择安全策略:关闭接口访问控制功能,为访问指定协议的流量开放精细的安全策略。
另外,如果想要从管理终端Ping防火墙的GE0/0/2接口,也需要开启GE0/0/1的接口访问控制功能,因为流量是从GE0/0/1进入防火墙的。
