H3C防火墙安全区域

定义区域

　　默认有Local Trust Untrust Management 不能改名不能删除,还可以定义你自己命名的安全区域

　　Trust一般是内网端口

　　Untrust是互联网外网的端口

　　Management是管理区域, 一般把默认的出厂有IP的端口g0/0/1加入该端口,但也不必须,也可以加入到Trust区域

　　防火墙是安全设备

　　默认所有端口都不通, 包括属于同一个区域的端口

　　只有放行同区域或不同区域的数据包策略端口之间才能通

区域加端口

　　默认所有端口都属于Local进该区域看不到端口,默认全属于此区域,不可手动加入端口

定义安全域间策略(实例) 匹配放行的数据报文

　　(1)包过滤策略即ACL方式:acl 标准或高级

　　　　用packet-filter 应用

　　(2)对象策略即策略对象object-policy

　　(3)ASPF策略:advanced stateful packet filter高级的包过滤策略

在安全域间实例zone-pair...上应用上面定义的策略

　　zone-pair security source ... destination...

　　　　应用acl策略或object-policy对象策略

案例:

基于包过滤策略的trust---untrust---Local之间的访问控制配置

注意什么是Trust Local Untrust区域

Local是防火墙本身

Trust/Untrust是接口所连接设备区域

 区域名字不区分大小写