Movimiento 1: Si la interfaz del dispositivo falla al hacer Ping y el inicio de sesión a través de SSH también, use la función Service-Management

65 0 0 0

Es posible que haya encontrado tales problemas: agregó las interfaces a las zonas de seguridad, configuró la política de seguridad a la zona local y verificó la ruta, pero aún así no puede hacer ping a través de la dirección de la interfaz del dispositivo y no puede iniciar sesión en el dispositi**** través de SSH.

Si ha encontrado este problema, el Dr. WoW supone que es posible que no haya configurado bien la función de administración del servicio.

¿Qué? ¿Qué es la función de Service-Management? ¿Nunca has oído hablar de eso?

No te preocupes El Dr. WoW está aquí para explicarlo.

 

Descripción de la función

La función de Service-Management controla los paquetes de protocolo de administración que acceden al dispositivo. Los comandos de configuración incluyen:

 

[ undo ] service-manage enable: Habilita / deshabilita la función de control de acceso a la interfaz.

service-manage { http | https ping ssh snmp | telnet } { permit | deny }: configura el permiso de acceso de cada paquete de protocolo de administración a la interfaz.

 

Por favor recuerda las siguientes conclusiones:

La función de Service-Management  tiene efecto preferentemente sobre el filtrado de paquetes. Es decir, cuando la función de service-management está habilitada en la interfaz, el dispositivo determina si se debe permitir un paquete a través de la configuración de service-management. Si la función service-management está deshabilitada en la interfaz (deshacer service-management enable), el dispositivo determina si se debe permitir un paquete a través del resultado del filtrado de paquetes.

 

La función de service-management, como un tipo de método de control de puertas, bloquea los paquetes de protocolo de administración que no tienen permiso para acceder al dispositivo. Sin embargo, este control de puerta solo se aplica a los paquetes que acceden al dispositivo desde esta interfaz. Para los paquetes que acceden al dispositivo desde otras interfaces, este control de puerta no es efectivo. Como se muestra en la Figura 1-1, haga ping a la dirección IP de Interface2 desde Interface1. La interfaz entrante del paquete es Interfaz1, y el permiso de ping de gestión de servicios está configurado en Interfaz1. Por lo tanto, la operación de ping tiene éxito. Haga ping a la dirección IP de Interface1 de Interface2. La interfaz entrante del paquete es Interfaz2, pero el rechazo de ping de gestión de servicios está configurado en Interfaz2. Por lo tanto, la operación de ping falla. En conclusión, la función de service-management debe configurarse en la interfaz entrante de paquetes, no en la interfaz de destino.

 

 

Figura 1-1 Diagrama de la función de service-management


024256gt44lb33gt9x3bd9.png?image.png

Diferencias de versión.

 

Versión

 Descripción

USG2000/5000   V300R001

En el puerto de administración (GE   0/0/0): la función Service-Management está habilitada de manera   predeterminada y los permisos HTTP, HTTPS, Telnet, Ping, SSH y SNMP están   configurados. No se requiere una política de seguridad para el acceso del   dispositi**** través del puerto de administración.

·          En el puerto que no es de   administración (incluidas las interfaces lógicas, VLANIF y VT): la función de   Service-Management está deshabilitada. Para administrar el dispositi****   través de un puerto de no administración, configure una política de seguridad   de permisos desde la zona de seguridad del puerto de no administración a la   zona local o habilite la función de Service-Management en el puerto de no   administración. Luego conceda permisos a los paquetes de protocolo   correspondientes.

USG6000 V100R001

USG6000&USG9000 V500R001

En el puerto de administración (GE   0/0/0): la función de Service-Management está habilitada de   manera predeterminada y los permisos HTTP, HTTPS, Telnet, Ping, SSH y SNMP   están configurados.

No se requiere una política de   seguridad para el acceso del dispositi**** través del puerto de   administración.

En el puerto que no  es de administración (incluidas las   interfaces lógica, VLANIF y VT): la función de Service-Management está habilitada de   forma predeterminada, pero los permisos HTTP, HTTPS, Telnet, Ping, SSH y SNMP   no están configurados. En tales casos,   incluso si la política de seguridad de la zona de seguridad del puerto de no   administración a la zona local está configurada con la acción de permiso, el   puerto de no administración no se puede usar para acceder al dispositivo.   Además, la función de Service-Management tiene efecto preferentemente sobre el filtrado de paquetes. Por lo   tanto, la operación de ping falla incluso si la política de seguridad y la   ruta son correctas.

Para administrar el dispositi****   través de un puerto que no sea de administración, otorgue permisos a los   paquetes de protocolo correspondientes según sea necesario. También puede   deshabilitar la función de Service-Management en el puerto que no   es de administración y configurar una política de seguridad de permisos desde   la zona de seguridad del puerto de no administración hasta la zona Local.

 

Ejemplo de configuración

Para acceder al dispositivo desde un puerto que no es de administración, puede habilitar la función de Service-Management y permitir los paquetes de protocolo correspondientes. También puede deshabilitar la función de Service-Management y configurar una política de seguridad de permisos para la zona Local.

 

La configuración del comando es la siguiente (usando USG6000 V100R001 como ejemplo): habilite la función de Service-Management para controlar los paquetes de protocolo de administración que acceden al dispositivo.


FW] interface GigabitEthernet 1/0/4       
[FW-GigabitEthernet1/0/4] service-manage enable    
[FW-GigabitEthernet1/0/4] service-manage https permit   
[FW-GigabitEthernet1/0/4] service-manage ping permit    
[FW-GigabitEthernet1/0/4] service-manage telnet permit    
[FW-GigabitEthernet1/0/4] service-manage ssh permit 
[FW-GigabitEthernet1/0/4] service-manage snmp permit  

 

Configure una política de seguridad para controlar los paquetes de protocolo de administración que acceden al dispositivo.

 

FW] interface GigabitEthernet 1/0/4          
[FW-GigabitEthernet1/0/4] undo service-manage enable          
[FW-GigabitEthernet1/0/4] quit 
[FW] security-policy                        
[FW-policy-security] rule name a              
[FW-policy-security-rule-a] source-zone trust    
[FW-policy-security-rule-a] destination-zone local               
[FW-policy-security-rule-a] destination-address 192.168.5.1 32    
[FW-policy-security-rule-a] action permit
 




  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje