设为首页收藏本站language→→ 语言切换

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

查看: 450|回复: 1
收起左侧

[文档资料] 防火墙安全区域配置

[复制链接]
 成长值: 62770
发表于 2024-10-31 15:54:02 | 显示全部楼层 |阅读模式
背景信息
设备上的安全区域分为预定义安全区域和自定义安全区域。如果需要在预定义的四个安全区域之外为网络划分更多的安全等级,可以在设备上创建自定义安全区域并设置安全区域的优先级。安全区域创建完成后,需要将接口加入其所属的安全区域中,从该接口接收或发送的报文即会被判定为属于该安全区域。

操作步骤
进入系统视图。
system-view
创建安全区域,并进入安全区域视图。
firewall zone [ name ] zone-name
根据以zone-name为名的安全区域是否已经存在于系统中,分为如下两种情况:

若安全区域已经存在,不必配置关键字name,执行该命令后将直接进入安全区域视图。

若安全区域不存在,则需要配置关键字name,以创建该安全区域,并进入安全区域视图。此外,可以通过firewall zone name zone-name id id 命令指定安全区域的ID。未指定ID时,系统会自动为创建的安全区域分配未被占用的ID。

预定义安全区域无需创建,也不能删除。可以通过firewall zone zone-name命令进入其安全区域视图。

配置安全区域的描述信息。
description description-text
为便于识别和维护创建的自定义安全区域,可以为自定义安全区域配置描述信息。

可选:(可选)为自定义安全区域配置优先级。
set priority security-priority
缺省情况下,自定义安全区域未配置优先级。

安全区域优先级的取值越大,优先级越高。

将接口加入安全区域。
add interface interface-type { interface-number | interface-number.subinterface-number }
MEth管理接口不属于任何安全区域,也不能加入任何安全区域。一个接口只能加入到一个安全区域,一个安全区域下可以多次使用此命令加入多个接口。


local安全区域定义的是设备自身,包括设备的各接口本身,因此:

local安全区域下不能加入任何接口;
向local以外的其他安全区域中添加接口,是将接口下所连的网络加入该安全区域,接口本身还是属于local安全区域。
检查配置结果
执行命令display zone [ zone-name ] [ interface | priority ],查看安全区域的配置信息。

后续处理
配置基于安全区域的策略,对不同安全区域间传输的流量进行管控。

您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-12-22 01:56 , Processed in 0.055109 second(s), 11 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表