- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-安全域命令
本章节下载: 01-安全域命令 (247.59 KB)
目 录
1.1.2 display zone-pair security
1.1.7 import service-chain path
1.1.11 security-zone intra-zone default permit
1.1.13 zone-pair vsip-filter enable
display security-zone命令用来显示安全域信息,包括缺省安全域和自定义的安全域信息。
【命令】
display security-zone [ name zone-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写。若不指定本参数,则显示所有安全域的信息。
【使用指导】
安全域的显示顺序是先显示缺省安全域信息,再按照安全域名称的字母排序显示自定义的安全域信息。
【举例】
# 显示安全域myZone的信息。
<Sysname> display security-zone name myZone
Name: myZone
Members:
Service path 2 reversed
GigabitEthernet1/0/1
GigabitEthernet1/0/2 in VLAN 3
VLAN 150-200
192.168.1.0 255.255.255.0
192.168.0.0 255.255.0.0 vpn-instance abc
1001:1002::0 32
表1-1 display security-zone命令输出信息描述
|
字段 |
描述 |
|
Name |
安全域名称 |
|
Members |
安全域成员,包括以下几种取值: · 三层接口名称 · 二层以太网接口名称和所属的VLAN编号 · VLAN编号 · 公网中的IP子网 · 公网中的IPv6子网 · VPN中的IP子网 · VPN中的IPv6子网 · 服务链编号 · 反向标记的服务链编号 · None,该安全域中没有成员 |
display zone-pair security命令用来显示已创建的所有域间实例的信息。
【命令】
display zone-pair security
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示所有安全域间实例的信息。
<Sysname> display zone-pair security
Source zone Destination zone
DMZ Local
Trust Local
表1-2 display zone-pair security命令输出信息描述
|
字段 |
描述 |
|
Source zone |
源安全域名称 |
|
Destination zone |
目的安全域名称 |
import interface命令用来向安全域中添加三层接口成员,包括三层以太网接口、三层以太网子接口和其它三层逻辑接口。
undo import interface命令用来从安全域中移除三层接口成员。
【命令】
import interface layer3-interface-type layer3-interface-number
undo import interface layer3-interface-type layer3-interface-number
【缺省情况】
安全域中不存在三层接口成员。
【视图】
安全域视图
【缺省用户角色】
network-admin
context-admin
【参数】
layer3-interface-type layer3-interface-number:指定添加到安全域的三层接口的接口类型和接口编号。
【使用指导】
缺省的安全域Local中不允许添加任何接口,其它缺省的安全域中允许添加接口。
可以通过多次执行本命令向同一个安全域添加多个三层接口成员。
一个三层接口只允许加入一个安全域。若要修改接口所属安全域时,需要执行以下操作:
(1) 首先在相应安全域中使用undo import interface命令将相应接口从原安全域中删除。
(2) 再使用import interface命令将其加入其它安全域。
【举例】
# 向安全域Trust中添加三层以太网接口GigabitEthernet1/0/1。
<Sysname> system-view
[Sysname] security-zone name trust
[Sysname-security-zone-Trust] import interface gigabitethernet 1/0/1
import interface vlan命令用来向安全域中添加二层接口和VLAN成员。
undo import interface vlan命令用来从安全域中移除二层接口和VLAN成员。
【命令】
import interface layer2-interface-type layer2-interface-number vlan vlan-list
undo import interface layer2-interface-type layer2-interface-number vlan vlan-list
【缺省情况】
安全域中不存在二层接口和VLAN成员。
【视图】
安全域视图
【缺省用户角色】
network-admin
context-admin
【参数】
layer2-interface-type layer2-interface-number:指定添加到安全域的二层接口的接口类型和接口编号。
vlan vlan-list:指定接口所属的VLAN列表。VLAN列表表示多个VLAN,表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>。其中,vlan-id1、vlan-id2为已创建的VLAN编号。&<1-10>表示前面的参数最多可以输入10次。vlan-id2必须大于vlan-id1。VLAN ID的取值范围为1~4094。
【使用指导】
缺省的安全域Local中不允许添加任何接口或者VLAN,其它缺省的安全域中允许添加接口和VLAN。
可以通过多次执行本命令,向安全域中添加多个二层接口和VLAN成员。
一个二层接口和所属的VLAN只允许加入一个安全域。若要修改接口或者VLAN所属安全域时,需要执行以下操作:
(1) 首先在相应安全域中使用undo import interface vlan命令将相应接口或者VLAN从原安全域中删除。
(2) 再使用import interface vlan命令将其加入其它安全域。
【举例】
# 向安全域Untrust中添加二层以太网接口GigabitEthernet1/0/1和对应的VLAN 10。
<Sysname> system-view
[Sysname] security-zone name untrust
[Sysname-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
import ip命令用来向安全域中添加IPv4子网成员。
undo import ip命令用来从安全域中删除IPv4子网成员。
【命令】
import ip ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
undo import ip ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
【缺省情况】
安全域中不存在IPv4子网成员。
【视图】
安全域视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:指定子网IPv4地址或主机地址。
mask-length:表示子网的掩码长度,即掩码中连续“1”的个数,取值范围为0~32。
mask:表示IPv4子网相应的子网掩码,为点分十进制格式。
vpn-instance vpn-instance-name:指定子网所属的VPN实例。vpn-instance-name表示设备中存在的MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。不指定该参数时,表示子网位于公网中。若指定的VPN实例不存在,虽然命令可以执行成功,但不生效,并且设备重启后该命令在配置文件中会丢失。
【使用指导】
缺省的安全域Local中不允许添加任何IPv4子网成员,其它缺省的安全域中允许添加IPv4子网成员。
可以通过多次执行本命令,向安全域中添加多个IPv4子网成员。
完全相同的子网不能添加到不同的安全域中,例如1.1.1.1/24与1.1.1.2/24相同,均对应IPv4子网1.1.1.0/24,不能分别添加到不同安全域。
如果两个子网的网段有包含关系,例如1.1.1.1/24与1.1.2.2/16,后者包含前者,但系统认为是两个不同子网,可以分别配置到同一安全域或者不同安全域。当配置到不同安全域时,报文最终将匹配掩码最长的子网所在的安全域。如IP地址为1.1.1.3的报文会匹配到1.1.1.1/24所在的安全域。
需要注意的是,在使用此种方式添加安全域成员时,为使动态路由协议建立成功,则必须将其使用的组播或广播地址加入安全域。
【举例】
# 添加地址为192.168.1.0、掩码长度为24的IPv4子网到安全域a。
<Sysname> system-view
[Sysname] security-zone name a
[Sysname-security-zone-a] import ip 192.168.1.0 24
# 添加地址为192.168.2.1、掩码为255.255.255.0的IPv4子网到安全域a。
<Sysname> system-view
[Sysname] security-zone name a
[Sysname-security-zone-a] import ip 192.168.2.1 255.255.255.0
# 添加地址为192.168.2.1、掩码为255.255.255.0、VPN实例名为abc的IPv4子网到安全域a。
<Sysname> system-view
[Sysname] security-zone name a
[Sysname-security-zone-a] import ip 192.168.2.1 255.255.255.0 vpn-instance abc
import ipv6命令用来向安全域中添加IPv6子网成员。
undo import ipv6命令用来从安全域中删除IPv6子网成员。
【命令】
import ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ]
undo import ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ]
【缺省情况】
安全域中不存在IPv6子网成员。
【视图】
安全域视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address:指定子网IPv6地址。
prefix-length:指定IPv6地址的前缀长度,取值范围为1~128。
vpn-instance vpn-instance-name:指定子网所属的VPN实例。vpn-instance-name表示设备中存在的MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。不指定该参数时,表示子网位于公网中。若指定的VPN实例不存在,虽然命令可以执行成功,但不生效,并且设备重启后该命令在配置文件中会丢失。
【使用指导】
缺省的安全域Local中不允许添加任何IPv6子网成员,其它缺省的安全域中允许添加IPv6子网成员。
可以通过多次执行本命令,向安全域中添加多个IPv6子网成员。
完全相同的IPv6子网不能添加到不同的安全域中,例如1:1:1::1/32与1:1:1::2/32相同,均对应IPv6子网1:1::0/32,不能分别添加到不同安全域。
如果两个子网的网段有包含关系,例如1:1:1::0/48与1:1:1::0/32,后者包含前者,但系统会认为是两个不同子网,可以分别配置到同一安全域或者不同安全域。当配置到不同安全域时,报文最终将匹配前缀最长的子网所在的安全域。如IP地址为1:1:1::2的报文会匹配到1:1:1::0/48所在的安全域。
【举例】
# 将IPv6子网1001:1002::0/32添加到安全域a。
<Sysname> system-view
[Sysname] security-zone name a
[Sysname-security-zone-a] import ipv6 1001:1002::1 32
# 将VPN实例abc中的IPv6子网1001:1002::0/32添加到安全域a。
<Sysname> system-view
[Sysname] security-zone name a
[Sysname-security-zone-a] import ipv6 1001:1002::1 32 vpn-instance abc
import service-chain path命令用来向安全域中添加服务链成员。
undo import service-chain path命令用来从安全域中删除服务链成员。
【命令】
import service-chain path path-id [ reversed ]
undo Import service-chain path path-id [ reversed ]
【缺省情况】
安全域中不存在服务链成员。
【视图】
安全域视图
【缺省用户角色】
network-admin
context-admin
【参数】
path-id:服务链成员的编号,取值范围为1~8388606。
reversed:表示匹配服务链的反向流量。不指定该参数时,表示只匹配服务链的正向流量。
【使用指导】
缺省的安全域Local中不允许添加任何服务链成员,其它缺省的安全域中允许添加服务链成员。
可以通过多次执行本命令向同一个安全域中添加多个不同服务链成员,但同一个服务链成员仅允许加入一个安全域。
配置服务链正向成员后,该服务链的正向报文将由安全域下配置的域间策略来处理。配置服务链反向成员后,该服务链的反向报文将由安全域下配置的域间策略来处理。关于服务链的详细介绍请参见“服务链命令参考”中的“服务链”。
【举例】
# 创建安全域zonetest,并将服务链成员100添加到该安全域。
<Sysname> system
[Sysname] security-zone name zonetest
[Sysname-security-zone-zonetest] import service-chain path 100
【相关命令】
· service-chain path(服务链命令参考/服务链)
· display service-chain path(服务链命令参考/服务链)
import vlan命令用来向安全域中添加VLAN成员。
undo import vlan命令用来从安全域中移除VLAN成员。
【命令】
import vlan vlan-list
undo import vlan vlan-list
【缺省情况】
安全域中不存在VLAN成员。
【视图】
安全域视图
【缺省用户角色】
network-admin
context-admin
【参数】
vlan vlan-list:指定要加入安全区域的VLAN列表。VLAN列表表示多个VLAN,表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>。其中,vlan-id1、vlan-id2为已创建的VLAN编号。&<1-10>表示前面的参数最多可以输入10次。vlan-id2必须大于vlan-id1。VLAN ID的取值范围为1~4094。属于这些VLAN的所有二层以太网接口均属于该安全域。
【使用指导】
缺省的安全域Local中不允许添加任何VLAN,其它缺省的安全域中允许添加VLAN。
该命令必须与跨VLAN模式的Bridge转发配合使用,即在将VLAN加入安全域后,还需要创建跨VLAN模式Bridge转发实例,并在Bridge视图下通过add vlan命令向VLAN列表中添加已加入安全域的VLAN。
可以通过多次执行本命令,向安全域中添加多个VLAN成员。
一个VLAN只允许加入一个安全域。若要修改VLAN所属安全域,需要执行以下操作:
(1) 首先在相应安全域中使用undo import vlan命令将相应VLAN从原安全域中删除。
(2) 再使用import vlan命令将其加入其它安全域。
【举例】
# 向安全域Trust中添加VLAN 3、VLAN 5~VLAN 7。
<Sysname> system-view
[Sysname] security-zone name trust
[Sysname-security-zone-Trust] import vlan 3 5 to 7
manage命令用来配置允许和其他设备交互的协议,指定协议的报文不受策略控制。
undo manage命令用来删除允许和其他设备交互的协议。
【命令】
manage { { http | https | ping | ssh | telnet } { inbound | outbound } | { netconf-http | netconf-https | netconf-ssh | snmp } inbound }
undo manage { { http | https | ping | ssh | telnet } { inbound | outbound } | { netconf-http | netconf-https | netconf-ssh | snmp } inbound }
【缺省情况】
仅允许和Management安全域接口相连的其他设备进行报文交互。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
http:表示HTTP协议。
https:表示HTTPS协议。
netconf-http:表示NETCONF over SOAP over HTTP协议。
netconf-https:表示NETCONF over SOAP over HTTPS协议。
netconf-ssh:表示NETCONF over SSH协议。
ping:表示Ping协议。
snmp:表示SNMP协议。
ssh:表示放行SSH协议报文。
telnet:表示放行Telnet协议报文。
inbound:放行访问设备的指定协议报文。
outbound:放行由设备主动发出的指定协议报文。
【使用指导】
当设备的某接口配置了允许通过指定协议和其他设备进行交互,则和该接口相连设备交互的指定协议报文将直接放行,不再被安全策略或带宽管理策略控制。
可以通过多次执行本命令,配置多个本机和其他设备交互的不受控协议。
【举例】
# 在接口GigabitEthernet1/0/1上配置其他设备可以通过HTTP和HTTPS协议访问本设备。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] manage http inbound
[Sysname-GigabitEthernet1/0/1] manage https inbound
security-zone命令用来创建安全域,并进入安全域视图。如果指定的安全域已经存在,则直接进入安全域视图。
undo security-zone命令用来删除安全域。
【命令】
security-zone name zone-name
undo security-zone name zone-name
【缺省情况】
存在安全域Local、Trust、DMZ、Management和Untrust。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
name zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能是字符串“any”,使用字符“\”和“"”时需要使用转义字符\。
【使用指导】
当首次执行创建安全域或者创建域间策略有关的命令时,系统会自动创建以下缺省安全域:Local、Trust、DMZ、Management和Untrust。
可通过多次执行本命令,创建多个安全域。
删除一个安全域时,以此安全域为源域或目的域的域间实例也会被删除,而且在该域间实例上已经应用的域间策略会被自动解除应用。缺省安全域不能被删除。
【举例】
# 创建安全域zonetest,并进入该安全域视图。
<Sysname> system-view
[Sysname] security-zone name zonetest
[Sysname-security-zone-zonetest]
【相关命令】
· display security-zone
security-zone intra-zone default permit命令用来配置同一安全域内接口间报文处理的缺省动作为允许。
undo security-zone intra-zone default permit命令用来配置同一安全域内接口间报文处理的缺省动作为拒绝。
【命令】
security-zone intra-zone default permit
undo security-zone intra-zone default permit
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
F50X0系列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5030-6GW-G |
不支持 |
|
|
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V系列 |
F5000-V30 |
支持 |
|
F1000-AI系列 |
F1000-AI-10、F1000-AI-15、F1000-AI-25、F1000-AI-35、F1000-AI-55、F1000-AI-65、F1000-AI-75 |
不支持 |
|
F1000-AI-03、F1000-AI-05、F1000-AI-20、F1000-AI-30、F1000-AI-50、F1000-AI-60、F1000-AI-70、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V系列 |
F1000-V50、F1000-V60 |
不支持 |
|
F1000-V70、F1000-V90 |
支持 |
|
|
F1000-SASE系列 |
F1000-SASE100 |
支持 |
|
F1000-SASE200 |
不支持 |
|
|
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
F1000-AK1025、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1505 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
【缺省情况】
同一安全域内报文过滤的缺省动作为拒绝。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
对于同一安全域内接口间的报文,若设备上不存在当前域到当前域的域间策略,设备缺省会将其拒绝,可以通过配置安全域内接口间报文处理的缺省动作为允许来放行报文。
【举例】
# 配置同一安全域内接口间报文处理的缺省动作为允许。
<Sysname> system-view
[Sysname] security-zone intra-zone default permit
zone-pair security命令用来创建安全域间实例,并进入安全域间实例视图。如果指定的安全域实例已经存在,则直接进入安全域实例视图。
undo zone-pair security命令用来删除指定的安全域间实例。
【命令】
zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }
undo zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }
【缺省情况】
不存在安全域间实例。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
source source-zone-name:源安全域的名称,为1~31个字符的字符串,不区分大小写。指定的安全域必须已存在。
destination destination-zone-name:目的安全域的名称,为1~31个字符的字符串,不区分大小写。指定的安全域必须已存在。
any:表示任意安全域。
【使用指导】
安全域间实例用于指定域间策略(如ASPF策略、安全策略等)需要检测的业务流的源安全域和目的安全域,它们分别描述了经过网络设备的业务流的首包要进入的安全域和要离开的安全域。在安全域间实例上应用域间策略可实现对指定业务流进行域间策略检查。
有具体安全域的安全域间实例的匹配优先级高于any到any的安全域间实例。
Management和Local安全域间之间的报文只能匹配Management与Local之间的安全域间实例。
删除安全域间实例后,在域间实例上已经应用的域间策略将不生效,对应的引用关系同时被取消。
【举例】
# 创建源安全域Trust到目的安全域Untrust的安全域间实例。
<Sysname> system-view
[Sysname] zone-pair security source trust destination untrust
[Sysname-zone-pair-security-Trust-Untrust]
【相关命令】
· display zone-pair security
zone-pair vsip-filter enable命令用来在安全域间实例上开启SLB虚服务IP过滤功能。
undo zone-pair vsip-filter enable命令在安全域间实例上关闭SLB虚服务IP过滤功能。
【命令】
zone-pair vsip-filter enable
undo zone-pair vsip-filter enable
【缺省情况】
安全域间LB虚服务IP过滤功能处于关闭状态。
系统视图
network-admin
context-admin
【使用指导】
该功能一般应用在SLB业务的安全域间实例处理流程中。对于通过虚服务IP从外部网络访问内部网络的流量,当该功能处于关闭状态时,设备使用实服务器IP匹配包过滤规则中的目的IP;当该功能处于开启状态时,设备使用虚服务IP匹配包过滤规则中的目的IP。
# 应用IPv4高级ACL 3000对源安全域Untrust到目的安全域DMZ的报文进行过滤,允许目的IP为SLB虚服务地址10.10.10.10的报文通过,并开启域间SLB虚服务地址过滤功能。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit ip source any destination 10.10.10.10 0
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] zone-pair security source untrust destination dmz
[Sysname-zone-pair-security-Untrust-DMZ] packet-filter 3000
[Sysname-zone-pair-security-Untrust-DMZ] quit
[Sysname] zone-pair vsip-filter enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
