05-安全域
本章节下载: 05-安全域 (155.04 KB)
安全域是一个逻辑概念,用于管理设备上安全需求相同的多个接口。管理员将安全需求相同的接口进行分类,并划分到不同的安全域,统一应用安全策略,简化配置,方便管理。
管理员创建安全域后,可以给安全域添加多个成员,成员的类型包括:二层物理接口加VLAN、三层物理接口/三层以太网子接口/其它三层逻辑接口。
配置安全域后,设备上各接口的报文转发遵循以下规则:
一个安全域中的接口与一个不属于任何安全域的接口之间的报文,会被丢弃。
属于同一个安全域的各接口之间的报文缺省会被丢弃。
安全域之间的报文由安全策略进行安全检查,并根据检查结果放行或丢弃。若安全策略不存在或不生效,则报文会被丢弃。
非安全域的接口之间的报文会被丢弃。
目的地址或源地址为本机的报文,缺省会被丢弃,若该报文与安全策略匹配,则由安全策略进行安全检查,并根据检查结果放行或丢弃。
· 设备管理口缺省属于Management安全域,用户可以通过该接口登录Web管理页面管理设备,若移出Management安全域,则会立即断开Web访问,无法远程管理设备。
· 同一个三层接口只允许加入一个安全域。
· 同一个“二层接口和VLAN”的组合只能加入到一个安全域中。
· 当报文未匹配对应安全域间实例时,若存在any到any的安全域间实例,则匹配any到any安全域间实例,否则直接丢弃报文。
· Management和Local安全域间之间的报文缺省会被允许。
· Management和Local安全域间之间的报文只能匹配Management与Local之间的安全域间实例,不会匹配any到any的安全域间实例。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!