防火墙安全区域配置

小乔

背景信息
设备上的安全区域分为预定义安全区域和自定义安全区域。如果需要在预定义的四个安全区域之外为网络划分更多的安全等级，可以在设备上创建自定义安全区域并设置安全区域的优先级。安全区域创建完成后，需要将接口加入其所属的安全区域中，从该接口接收或发送的报文即会被判定为属于该安全区域。

操作步骤
进入系统视图。
system-view
创建安全区域，并进入安全区域视图。
firewall zone [ name ] zone-name
根据以zone-name为名的安全区域是否已经存在于系统中，分为如下两种情况：

若安全区域已经存在，不必配置关键字name，执行该命令后将直接进入安全区域视图。

若安全区域不存在，则需要配置关键字name，以创建该安全区域，并进入安全区域视图。此外，可以通过firewall zone name zone-name id id 命令指定安全区域的ID。未指定ID时，系统会自动为创建的安全区域分配未被占用的ID。

预定义安全区域无需创建，也不能删除。可以通过firewall zone zone-name命令进入其安全区域视图。

配置安全区域的描述信息。
description description-text
为便于识别和维护创建的自定义安全区域，可以为自定义安全区域配置描述信息。

可选：（可选）为自定义安全区域配置优先级。
set priority security-priority
缺省情况下，自定义安全区域未配置优先级。

安全区域优先级的取值越大，优先级越高。

将接口加入安全区域。
add interface interface-type { interface-number | interface-number.subinterface-number }
MEth管理接口不属于任何安全区域，也不能加入任何安全区域。一个接口只能加入到一个安全区域，一个安全区域下可以多次使用此命令加入多个接口。


local安全区域定义的是设备自身，包括设备的各接口本身，因此：

local安全区域下不能加入任何接口；
向local以外的其他安全区域中添加接口，是将接口下所连的网络加入该安全区域，接口本身还是属于local安全区域。
检查配置结果
执行命令display zone [ zone-name ] [ interface | priority ]，查看安全区域的配置信息。

后续处理
配置基于安全区域的策略，对不同安全区域间传输的流量进行管控。

mawr1985