欢迎user
04-安全域
本章节下载: 04-安全域 (147.19 KB)
安全域是一个逻辑概念,用于管理设备上安全需求相同的多个接口。管理员将安全需求相同的接口进行分类,并划分到不同的安全域,统一应用安全策略,简化配置,方便管理。
管理员创建安全域后,可以给安全域添加多个成员,成员的类型包括:二层物理接口加VLAN、三层物理接口/三层以太网子接口/其它三层逻辑接口。
配置安全域后,设备上各接口的报文转发遵循以下规则:
一个安全域中的接口与一个不属于任何安全域的接口之间的报文,会被丢弃。
属于同一个安全域的各接口之间的报文缺省会被丢弃。
安全域之间的报文由安全策略进行安全检查,并根据检查结果放行或丢弃。若安全策略不存在或不生效,则报文会被丢弃。
非安全域的接口之间的报文会被丢弃。
目的地址或源地址为本机的报文,缺省会被丢弃,若该报文与安全策略匹配,则由安全策略进行安全检查,并根据检查结果放行或丢弃。
· 同一个三层接口只允许加入一个安全域。
· 同一个“二层接口和VLAN”的组合只能加入到一个安全域中。
· 当报文未匹配对应安全域间实例时,若存在any到any的安全域间实例,则匹配any到any安全域间实例,否则直接丢弃报文。
· Management和Local安全域间之间的报文缺省会被允许。
· Management和Local安全域间之间的报文只能匹配Management与Local之间的安全域间实例,不会匹配any到any的安全域间实例。
· 安全域中添加的IP成员优先级高于接口成员,Web页面不支持添加IP成员。因此在使用Web方式配置安全域时,请勿使用命令行在安全域中添加IP类型的成员。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!