文档介绍:平安区域
平安区域的概念
平安区域〔zone〕是防火墙产品所引入的一个平安概念,是防火墙产品区别于路由器的主要特征。
对于路由器,各个接口所连接的网络在平安上可以视为是平等的,没有明显的内外之分,所以即使进展一,或dmz区域向untrust区域发起连接时,必须明确配置缺省过滤规
如此。
由防火墙本地〔local区域〕发起或终止的报文不进展状态检测,这类报文的过滤由包过滤机制来完成。
平安区域的配置
平安区域的配置包括:
创立平安区域并进入平安区域视图
配置平安区域的平安优先级
配置平安区域的隶属接口
进入域间视图
1. 创立平安区域并进入平安区域视图
系统缺省保存四个平安区域:本地区域〔local〕、受信区域〔trust〕、非军事化区〔dmz〕和非受信区域〔untrust〕,这四个区域无需创立也不能删除。
创立新的平安区域时,需要使用name关键字;进入保存的或已建立的平安区域视图时如此不需要使用该关键字。
请在系统视图下进展如下配置。
缺省情况下,系统预定义了四个平安区域,即local、trust、dmz和untrust区域。系统最大支持16个平安区域〔包括四个保存的区域〕。
2. 配置平安区域的平安优先级
只能为用户自己创立的平安区域才能配置平安优先级。系统保存四个平安区域本地区域〔local〕、受信区域〔trust〕、非军事化区〔dmz〕和非受信区域〔untrust〕的平安优先级分别是100、85、50和5,优先级不可以重新配置。同一系统中,两个
平安区域不允许配置一样的平安优先级。
请在平安区域视图下进展如下配置。
缺省情况下,用户自定义的平安区域优先级为0。平安区域优先级一旦设定后,不允许再更改。
3. 配置平安区域的隶属接口
除了local区域以外,使用其他所有平安区域时需要将平安区域分别与防火墙的特定接口相关联,即需要将接口参加到区域。该接口既可以是物理接口,也可以是逻辑接口。可屡次使用该命令为平安区域指定多个接口,一个平安区域能够支持的最大接口数量为1024。
请在平安区域视图下进展如下配置。
缺省情况下,平安区域中不包含任何接口,所有隶属关系都需要通过该add interface命令手工配置。
4. 进入域间视图
当数据流在平安区域之间流动时,才会激发secpath防火墙进展平安策略的检查,即secpath防火墙的平安策略实施都是基于域间〔例如untrust区域和trust区域之间〕的,不同的区域之间可以设置不同的平安策略〔例如包过滤策略、状态过滤策略等等〕。因此,为了在区域间设置不同的平安策略,第一步就是要进入域间视图。
进入域间视图后的平安策略的设置将在后文的各章中逐一介绍。
请在系统视图下进展如下配置。
平安区域的显示与调试
在完成上述配置后,在所有视图下执行display命令可以显示平安区域的配置情况,通过查看显示信息验证配置的效果。
平安区域的典型配置举例
1. 组网需求
某公司以secpath防火墙作为网络边防设备,设置