最近用华三的防火墙用web的方式登录,但是登录后一创建安全策略就会断开连接。让我百思不得其解。
最后才知道当安全策略(security-policy ip)激活时,对象策略(object-policy)会失效。所以,如果已经配置了security-policy ip,需要undo掉,否则object-policy无法生效。security-policy是object-policy的进化版,两者无法同时生效,security-policy优先级高于object-policy。
1、首先使用基于对象策略(object-policy)设置web方式登录防火墙:
security-zone name Management import interface GigabitEthernet1/0/0 object-policy ip web 创建对象策略 rule 0 pass zone-pair security source Management destination Local 在域间应用 object-policy apply ip web local-user 123 class manage 创建用户 password simple 12345678 service-type https authorization-attribute user-role network-admin ip http enable ip https enable
当使用基于对象的策略设置web登录后,随便创建一个安全策略就会无响应断开连接
原因是因为创建的对象策略和安全策略冲突,undo掉安全策略就能解决
2、使用安全策略(security-policy ip)设置web方式登录
[H3C]undo zone-pair security source Management destination Local object-group ip address web 创建ip地址对象组 0 network subnet 192.168.1.0 255.255.255.0 security-policy ip rule 0 name web action pass source-zone management destination-zone local source-ip web destination-ip web service https service ping
登录防火墙后有一条刚才在终端配置的安全策略