为icmp提供服务的协议

前言

管理协议是用于管理网络设备的协议，根据业务目的的不同，可以用于管理防火墙，也可以经过防火墙管理其他网络设备。对于管理防火墙的流量，大部分常用的管理协议都可以通过开启接口访问控制来放行。

Telnet、FTP、TFTP协议存在安全风险，建议使用SSH协议执行远程登录和文件传输。以下内容仅供临时开放安全策略时参考，并不构成任何建议。请严格限制临时安全策略的源和目的，并在使用结束后停用。

网络专注于IT技术领域，结合实战经验，为您分享网络技术、系统集成、网络工程等一线技术解析和实践案例。愿我们一起悦享技术，成就梦想！

一、如何为Telnet开放安全策略

常见的管理协议，如Telnet、SSH、FTP，具有相似的业务模型。对于Telnet，网络中可能有三种业务访问关系。

1. 入方向（Inbound）流量：从管理终端Telnet防火墙的接口地址，是访问防火墙的流量。

2. 出方向（Outbound）流量：从防火墙Telnet服务器的地址，属于从防火墙发出的流量。

3. 穿墙（Transmit）流量：从管理终端Telnet服务器的地址，是经过防火墙的穿墙流量。

图1-1展示了三种业务访问关系以Telnet为例的情况。对应的安全策略需要关注源/目的安全区域、源/目的地址所体现出来的访问关系差异。

二、如何为FTP和TFTP开放安全策略

2.1 FTP

FTP是多通道协议，客户端首先向服务端的21号端口发起连接请求，建立控制通道，然后客户端和服务端通过协商来确定数据通道的端口。根据FTP工作模式的不同，其协商过程也不同。

主动模式下，客户端随机选择一个端口，发起PORT命令，通知服务端自己使用该端口来接收数据。服务端从20号端口向该端口发起新的连接。被动模式下，客户端发起PASV命令，服务端随机选择一个端口，通知客户端向该端口发起数据请求。

不管是哪种工作模式，数据通道使用的端口都是随机的。这时，你需要在安全域间启用ASPF功能来解决这个问题。ASPF只是解决数据通道的问题，你仍然需要为控制通道配置安全策略。

以FTP服务器（10.1.2.10）工作于主动模式为例，客户端（10.1.1.10）和服务器之间会建立两个会话。ftp表示控制通道会话，客户端主动访问服务器；ftp-data表示数据通道会话，服务器主动访问客户端。

2.2 TFTP

TFTP是简单文件传输协议，其与FTP的主要不同之处在于：TFTP基于UDP传输，使用69号端口建立控制通道。需要在安全策略中指定服务为tftp（UDP 69）。TFTP跟FTP一样动态协商数据通道端口，但不是ASPF默认支持的协议，需要自定义配置。

三、如何为SSH开放安全策略（STelnet、SFTP、SCP）

SSH是Secure Shell（安全外壳）的简称，是一种在不安全的网络环境中，通过加密机制和认证机制，实现安全的远程访问以及文件传输等业务的网络安全协议。STelnet是华为对SSH远程登录功能的叫法，以突出其相对Telnet的安全性。SCP即Secure Copy，SFTP即Secure FTP，都是基于SSH协议的文件传输协议。

SSH默认使用TCP 22端口建立连接，也支持自定义端口。配置安全策略时，需要开放SSH相关的端口。

四、如何为Ping和Tracert开放安全策略

Ping和Tracert是基于ICMP协议的常用网络诊断工具。为了正常的网络诊断需要，你可能需要允许防火墙主动Ping上下游设备，也可能需要允许上下游设备的Ping穿越防火墙。最简单的安全策略是允许特定类型的ICMP报文。

Ping需要使用两种类型的ICMP报文：Echo Request（Type 8）和Echo Re（Type 0）。Tracert主要使用三种ICMP报文：Echo Request（Type 8）、Echo Re（Type 0）和Time Exceeded（Type 11）。配置安全策略时，需要开放这些报文相关的端口。对于UNIX-like操作系统的Traceroute命令使用的是UDP报文发起探测。因此还需要放行探测发起方的UDP报文。对于访问交换机的Web UI和RESTCONF流量也需要开放相应的安全策略端口。对于SNMP协议和NETCONF协议也需要根据业务访问关系配置相应的安全策略端口以确保设备之间的正常通信和管理功能的使用完成管理员可以了解网络设备运行情况获取配置信息等必备服务需要满足使用SSH和加密传输等安全机制的需求以保护网络通信的安全性和完整性同时日志流量也需要配置相应的安全策略以保护