C/C++教程

H3C防火墙基于object-policy(对象策略) 和 security-policy(安全策略)的配置

本文主要是介绍H3C防火墙基于object-policy(对象策略) 和 security-policy(安全策略)的配置,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

最近用华三的防火墙用web的方式登录,但是登录后一创建安全策略就会断开连接。让我百思不得其解。

最后才知道当安全策略(security-policy ip)激活时,对象策略(object-policy)会失效。所以,如果已经配置了security-policy ip,需要undo掉,否则object-policy无法生效。security-policy是object-policy的进化版,两者无法同时生效,security-policy优先级高于object-policy。

1、首先使用基于对象策略(object-policy)设置web方式登录防火墙:

security-zone name Management
 import interface GigabitEthernet1/0/0 

object-policy ip web    创建对象策略
 rule 0 pass

zone-pair security source Management destination Local   在域间应用
 object-policy apply ip web

local-user 123 class manage    创建用户
 password simple 12345678
 service-type https
 authorization-attribute user-role network-admin

 ip http enable
 ip https enable

当使用基于对象的策略设置web登录后,随便创建一个安全策略就会无响应断开连接

原因是因为创建的对象策略和安全策略冲突,undo掉安全策略就能解决

2、使用安全策略(security-policy ip)设置web方式登录

[H3C]undo zone-pair security source Management destination Local

object-group ip address web     创建ip地址对象组
 0 network subnet 192.168.1.0 255.255.255.0
 
security-policy ip
 rule 0 name web
  action pass
  source-zone management
  destination-zone local
  source-ip web
  destination-ip web
  service https
  service ping

登录防火墙后有一条刚才在终端配置的安全策略

这篇关于H3C防火墙基于object-policy(对象策略) 和 security-policy(安全策略)的配置的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!