H3C防火墙有安全策略和域间策略,安全策略的优先级大于域间策略,会优先匹配安全策略,匹配不到才会匹配域间策略
域间策略:any to any的域间策略优先级低于具体的区域到具体的区域的域间策略
安全策略匹配顺序:从上到下,和安全策略的ID号没有任何关联
Local :默认防火墙所有接口都属于Local安全区域
在初始化的时候,安全策略是空的,因为里面没有内容(没有隐含的拒绝所有的策略)
生效的是域间策略,这个域间策略是拒绝所有的,所以刚开始是所有流量都不通的
建议:使用一种策略来进行管理设备(安全策略)
1、将域间策略放行所有
2、创建安全策略,拒绝所有(这条策略放到最下面)
防火墙策略配置
1、策略是匹配是五元组匹配的
2、顺序是从上到下
3、但是首先是基于区域到区域的,比如trust到UNtrust,对应接口加入对应安全域
4、也就是区域+五元组
配置说明:
配置实例:
配置指南:
1.配置接口和对象组
首先需要配置设备接口IP地址及安全域,然后创建源IPv4对象组以及时间段
2.创建安全策略
创建Trust安全域访问Untrust安全域的安全策略,在安全策略中匹配源IPv4地址对象组,并匹配时间段
3.验证配置结果
