一. 基本概念
安全域:是乙個邏輯概念,用於管理安全防護裝置上的安全需求相 同的多個介面,便於實現安全控制策略的統一管理。
預設安全域:當首次建立安全策略或域間策略時,系統會自動建立 以下安全域:local、trust、dmz,management和untrust。預設安全域不能被刪掉。
dmz:指介於嚴格的軍事管制區域和鬆散的公共區域之間的一種有 著部分管制的區域。安全域中引用這一術語,指代乙個邏輯上和物理 上都與內部網路和外部網路分離的區域。通常部署網路時,將那些需 要被公共訪問的裝置(如 web server、ftp server 等)放置於此。
二. 基於安全域的報文處理規則
建立安全域之後,裝置上各界面的報文**遵循以下規則:
乙個安全域中的介面與乙個不屬於任何安全域介面之間的報文,會被丟棄。
屬於同乙個安全域介面之間的報文缺省會被丟棄。
安全域之間的報文由域間策略進行安全檢查,並根據檢查結果放行或丟棄。若域間策略不存在或不生效,則報文會被丟棄。
非安全區域之間的報文會被丟棄。
目的位址與或源位址為本機的報文,預設丟棄。若該報文與域間策略匹配,則由域間策略進行安全檢查,並根據檢查結果放行或丟棄。
三. 安全域的安全級別
數字越大表示該區域的網路越可靠
H3C防火牆基礎配置1 登入配置 安全域配置
新增管理類本地使用者 local user test class manage password string service type 新增網路接入類本地使用者 local user test2 class network password string service type 預設密碼admi...
H3C防火牆DHCP配置
1,配置安全策略將trust到local域 local到trust域資料全放通策略 在 安全策略 中點選 新建 建立策略名稱為互通,源安全域 目的安全域選擇多選,並選中local ttrust。策略配置如下圖所示,點選 確定 完成策略配置。2,配置dhcp服務 在 網路 dhcp 服務 中開啟dhc...
H3C防火牆 域間策略
一.域間策略概述 如圖1 1所示,域間策略是一種基於安全域實現對報文流的檢查,並根 據檢查結果對報文實行相應動作的域間策略。乙個安全域中,可以包 含多個成員。例如,可以將公司安全防護裝置上連線到內網的介面作 為成員加入安全域 trust,連線 internet 的介面作為成員加入安全域 untrus...