• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

某局点防火墙限制web登录无法生效的经典案例

2019-10-22 发表
  • 0关注
  • 0收藏,470浏览
粉丝:4人 关注:1人

组网及说明

SecPath防火墙除了提供常见的命令行管理外,为了管理的快捷和直观,专门开发了WEB网管方式,管理的方式为http://防火墙地址/。但在使用WEB网管的过程中,客户经常有如下要求:只允许部分内网和个别外网用户具有登录权限,禁止来自其他外网及内网用户的访问。 默认设置下,所有和防火墙接口路由可达的用户都可以登陆防火墙的WEB管理界面,一旦Web网管密码泄露或用户通过暴力破解获取账号密码,非法用户将直接登陆防火墙WEB网管界面,进行任意篡改。为了防止这种情况,我们可以将WEB网管只授权给管理员。

问题描述

客户反馈配置限制web登录后无法生效,未配置时所有主机都可以登录,配置限制acl后所有主机都无法登陆

过程分析

配置检查

管理口配置:

 # 

 interface GigabitEthernet 1/0/0 

 ip binding vpn-instance ceshi 

 ip address 10.10.10.10 255.255.255.0 

限制登录的ACL定义

 # 

acl basic 2999

 rule 0 permit source 1.1.1.1 0 

 rule 5 permit source 2.2.2.2 0 

 rule 10 deny 

应用WEB管理页面登录控制 

 //将ACL绑定到HTTP网管上 

 # ip http acl 2999

检查配置发现客户实际上是把管理口绑定了vpn实例,此时acl限制需要绑定vpn实例,否则主机访问防火墙时防火墙查找的为全局路由表,从而出现上述故障现象,同时需要保证防火墙上有配置vpn路由

解决方法

1、限制acl绑定vpn实例

rule 0 permit vpn-instance ceshi source 1.1.1.1 0 

2、利用防火墙的安全策略实现

对于访问管理口的流量限制源目ip地址,服务类型配置为http和https,同时注意更改管理口所属安全域,因为man到local域的策略默认是放通的,如下面会话(管理口未更改安全域会话)。

dis session table ipv4 source-ip 1.1.1.1 verbose

Slot 1:

Initiator:

  Source      IP/port:1.1.1.1/57221

  Destination IP/port: x.x.x.x/443

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: mgt/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/0

  Source security zone: Management

Responder:

  Source      IP/port: x.x.x.x/443

  Destination IP/port:1.1.1.1/57221

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: mgt/-/-

  Protocol: TCP(6)

  Inbound interface: InLoopBack0

  Source security zone: Local

State: TCP_ESTABLISHED

Application: HTTPS

Start time: 2019-10-17 15:08:28  TTL: 597s

Initiator->Responder:           49 packets       6689 bytes

Responder->Initiator:           86 packets     100379 bytes

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作