注:华三你命令为**manage { inbound | outbound }**
    service-manage enable命令用来开启接口的访问管理功能,和service-manage { http | https | ping | ssh | snmp | telnet } { permit | deny }配合使用来控制接口的http、https、telnet、ping等协议的访问权限。
    访问管理的优先级要高于包过滤。即启用访问管理功能时,设备会以访问管理中配置为准来判断能否用相应的协议来管理设备;未启用访问管理功能(undo service-manage enable)时,设备才会根据包过滤的结果来判断。
    对于USG V300R001设备,管理口(GE 0/0/0)下默认已开启访问管理功能,且http、https、telnet、ping、ssh、snmp的权限都是放开的。非管理口下默认是未开启访问管理功能。
    如果要通过非管理口来管理设备,只要配置一条到local域动作为permit的安全策略,就能通过非管理口访问设备。当然,也可以选择启用访问管理功能,然后根据自己的需求允许相应的协议报文通过。
    防火墙service-manage功能的一些说明 - 图1
    对于NGFW设备,管理口(GE 0/0/0)下默认已开启访问管理功能,且http、https、telnet、ping、ssh、snmp的权限都是放开的。非管理口下默认是开启了访问管理功能的,但是http、https、telnet、ping等权限都是关闭的。此时,即使您配置了到local域permit的安全策略,也不能通过非管理口访问设备。因为访问管理功能的优先级高于包过滤。
    防火墙service-manage功能的一些说明 - 图2
    如果要通过非管理口来访问设备,您可以选择继续启用访问管理,并允许相应的协议报文通过。或者也可以选择将访问管理关闭,再配置到local域permit的安全策略。命令行的配置如下:
    方法一,通过访问管理来控制:

    1. [FW] interface GigabitEthernet 1/0/4
    2. [FW-GigabitEthernet1/0/4] service-manage enable
    3. [FW-GigabitEthernet1/0/4] service-manage https permit
    4. [FW-GigabitEthernet1/0/4] service-manage ping permit
    5. [FW-GigabitEthernet1/0/4] service-manage telnet permit
    6. [FW-GigabitEthernet1/0/4] service-manage ssh permit
    7. [FW-GigabitEthernet1/0/4] service-manage snmp permit

    permit哪些协议、deny哪些协议请根据自己的需要调整。

    方法二,通过包过滤来控制:

    1. [FW] interface GigabitEthernet 1/0/4
    2. [FW-GigabitEthernet1/0/4] undo service-manage enable
    3. [FW] security-policy
    4. [FW-policy-security] rule name a
    5. [FW-policy-security-rule-a] source-zone trust
    6. [FW-policy-security-rule-a] destination-zone local
    7. [FW-policy-security-rule-a] destination-address 192.168.5.1 32
    8. [FW-policy-security-rule-a] action permit

    上面安全策略的配置仅做示例,包过滤的条件请根据自己的需要调整。
    对于NGFW设备,如果要想通过telnet方式登录,还需要通过Console口登录设备命令行,在系统视图下配置telnet server enable命令或者通过Web登录设备后,在“系统>管理员>设置”中开启Telnet服务。否则,即使接口下的service-manage telnet permit,也还是无法通过telnet访问设备。USG V300R001设备由于telnet服务默认是开启的,所以不配置也可以。

    接下来再来看看一种比较特殊的情况。
    防火墙service-manage功能的一些说明 - 图3
    FWA Trust域到local 域的安全策略动作为permit。
    防火墙service-manage功能的一些说明 - 图4
    FWA GE 0/0/1接口的ping权限关闭。
    防火墙service-manage功能的一些说明 - 图5
    FWA GE 0/0/3接口的ping权限打开。
    防火墙service-manage功能的一些说明 - 图6
    从FWB上Ping FWA的GE0/0/1接口地址 2.1.1.2,还是能ping通。
    防火墙service-manage功能的一些说明 - 图7
    FWA GE0/0/1接口的ping权限打开。
    防火墙service-manage功能的一些说明 - 图8
    FWA GE0/0/3接口的ping权限关闭。
    防火墙service-manage功能的一些说明 - 图9
    再从FWB上Ping FWA的GE0/0/1接口地址 2.1.1.2,ping不通了。
    防火墙service-manage功能的一些说明 - 图10
    所以,service-mange就相当于一道门禁,能为设备挡住不允许进入的管理协议报文。但这个门禁仅对从这个门进入的报文生效,如果报文是从别的门进入然后到达这个门,就挡不住了。
    防火墙service-manage功能的一些说明 - 图11
    另外,service-manage也只能管控进入设备的报文,对于出设备的报文还是由安全策略控制。验证过程如下:
    FWA local域到trust域的安全策略动作为deny。
    防火墙service-manage功能的一些说明 - 图12
    FWA GE 0/0/3接口的ping权限打开。
    防火墙service-manage功能的一些说明 - 图13
    从FWA ping FWB的GE0/0/1接口地址8.8.8.8,ping不通。
    防火墙service-manage功能的一些说明 - 图14