最近用华三的防火墙用web的方式登录,但是登录后一创建安全策略就会断开连接。让我百思不得其解。
最后才知道当安全策略(security-policy ip)激活时,对象策略(object-policy)会失效。所以,如果已经配置了security-policy ip,需要undo掉,否则object-policy无法生效。security-policy是object-policy的进化版,两者无法同时生效,security-policy优先级高于object-policy。
1、首先使用基于对象策略(object-policy)设置web方式登录防火墙:
security-zone name Management
import interface GigabitEthernet1/0/0
object-policy ip web 创建对象策略
rule 0 pass
zone-pair security source Management destination Local 在域间应用
object-policy apply ip web
local-user 123 class manage 创建用户
password simple 12345678
service-type https
authorization-attribute user-role network-admin
ip http enable
ip https enable
当使用基于对象的策略设置web登录后,随便创建一个安全策略就会无响应断开连接
原因是因为创建的对象策略和安全策略冲突,undo掉安全策略就能解决
2、使用安全策略(security-policy ip)设置web方式登录
[H3C]undo zone-pair security source Management destination Local
object-group ip address web 创建ip地址对象组
0 network subnet 192.168.1.0 255.255.255.0
security-policy ip
rule 0 name web
action pass
source-zone management
destination-zone local
source-ip web
destination-ip web
service https
service ping
登录防火墙后有一条刚才在终端配置的安全策略