1.1.5 本地安全策略和接口访问控制

防火墙作为一种安全产品，其基本设计理念就是管理网络中的业务，决定哪些流量可以通过，哪些不能通过。这里说的业务，也包括从防火墙发出的流量、访问防火墙的流量。针对这些流量的安全策略，其源安全区域或目的安全区域为local区域（代表防火墙自身），因此也叫本地安全策略。

如图1-6所示，从管理终端ping防火墙的接口地址，是访问防火墙的流量。从防火墙ping服务器的地址，属于从防火墙发出的流量。为它们开放的安全策略即为本地安全策略（表1-5中101号、102号策略）。为了对比，这里也提供了从管理终端ping服务器的安全策略（103号策略）。

图1-6　本地安全策略——以ping为例

表1-5　本地安全策略

为了使用ping功能定位网络问题，用户需要在防火墙上专门开放安全策略。这确实有一点复杂，但是安全。

为了简化管理，防火墙提供了常见管理协议的接口访问控制功能，用来替代101号安全策略这样的访问防火墙设备自身的安全策略。如果用户想ping防火墙的GE0/0/1接口，只需要在这个接口下启用接口访问控制功能，并指定允许的协议（ping）即可。

interface GigabitEthernet 0/0/1
 ip address 10.1.1.1 255.255.255.0
 service-manage enable                //开启接口的访问控制功能
 service-manage ping permit           //允许通过ping访问此接口

默认情况下，防火墙带外管理的MGMT接口已经启用接口访问控制功能，并且允许通过HTTP、HTTPS（Hypertext Transfer Protocol Secure，超文本传送安全协议）、ping、SSH（Secure Shell，安全外壳）、Telnet、NETCONF（Network Configuration Protocol，网络配置协议）和SNMP（Simple Network Management Protocol，简单网络管理协议）访问防火墙。其他接口也启用了接口访问控制功能，但是未允许任何协议。

需要注意的是，接口访问控制功能优先于安全策略。举例来说，如果只启用了接口访问控制功能，而未允许通过ping访问此接口，即使配置了101号安全策略，也无法访问防火墙。如果启用了接口下的ping访问功能，不需要配置101号安全策略就可以访问防火墙了。因此，如果需要通过上述协议访问防火墙，用户有两个选择：选择接口访问控制，启用接口访问控制功能，并允许指定的协议；选择安全策略，关闭接口访问控制功能，为访问指定协议的流量开放精细的安全策略。

另外，如果想要从管理终端ping防火墙的GE0/0/2接口，也需要开启GE0/0/1接口的访问控制功能，因为流量是从GE0/0/1接口进入防火墙的。