问小白 wenxiaobai
资讯
历史
科技
环境与自然
成长
游戏
财经
文学与艺术
美食
健康
家居
文化
情感
汽车
三农
军事
旅行
运动
教育
生活
星座命理

华为防火墙同区域策略配置及说明

创作时间:
作者:
@小白创作中心

华为防火墙同区域策略配置及说明

引用
CSDN
1.
https://blog.csdn.net/zhanglongquan/article/details/141028774

本文详细介绍了华为防火墙的区域策略配置,包括区域间策略、区域内策略、接口特殊性以及安全策略顺序等内容。文章主要面向网络管理员或IT技术人员,对于理解华为防火墙的配置和管理具有一定的参考价值。

一、防火墙区域间策略

  1. 防火墙不同安全区域不同接口之间的数据访问时受防火墙的安全策略及优先级管控。
  2. 防火墙不同安全区域之间要进行访问时、默认拒绝。

二、防火墙区域内策略

  1. 防火墙相同区域不同接口之间、可以直接访问不受默认策略影响。
  2. 防火墙相同区域不同接口之间流量可手动配置安全策略、实现安全策略管控。
  3. 防火墙相同区域访问时会产生状态检测表

三、防火墙接口的特殊性

  1. 防火墙自身接口默认属于local区域。
  2. 防火墙接口安全策略高于系统下的security-pollcy
  3. 接口安全策略可以关闭。

注:service-manage只管控入方向规则的数据只针对当前接口生效、无法管理防火墙自身向外发出的数据流量。

四、防火墙安全策略顺序说明

  1. 防火墙安全策略按照从上往下配置顺序生效。
[FW-policy-security]display this 
2024-08-09 03:05:04.580 
#
security-policy
 rule name trust_to_untrust                             策略一
  source-zone trust
  destination-zone untrust
  source-address 192.168.2.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  action permit
 rule name untrust_to_trust                             策略二
  source-zone untrust
  destination-zone trust
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 192.168.2.0 mask 255.255.255.0
  action deny
 rule name trust_2_local                                策略三
  source-zone trust
  destination-zone local
  action permit
#
return
[FW-policy-security]
  1. 如何更改配置顺序
[FW-policy-security]rule ?
  copy    Indicate copy a rule         可以复制以上的安全策略
  move    Indicate move a rule         可以更改安全策略的顺序
  name    Indicate configure rule name
  rename  Indicate rename a rule        可以重命名
[FW-policy-security]rule   

  
[FW-policy-security]rule move trust_2_local ?
  after   Indicate move after a rule            安全策略拆入已有策略前面
  before  Indicate move before a rule            安全策略拆入已有策略后面
  bottom  Indicate move a rule to the bottom     安全策略最底下
  down    Indicate move down a rule              安全策略下移
  top     Indicate move a rule to the top        安全策略最上
  up      Indicate move up a rule                安全策略上移
  1. 把第三条策略移动到第一条位置
  
[FW-policy-security]rule move trust_2_local top     第三条移至第一条
[FW-policy-security]di th 
2024-08-09 04:03:24.100 
#
security-policy
 rule name trust_2_local           第三条移至第一条
  source-zone trust
  destination-zone local
  action permit
 rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 192.168.2.0 mask 255.255.255.0
  destination-address 192.168.1.0 mask 255.255.255.0
  action permit
 rule name untrust_to_trust
  source-zone untrust
  destination-zone trust
  source-address 192.168.1.0 mask 255.255.255.0
  destination-address 192.168.2.0 mask 255.255.255.0
  action deny
#
return
[FW-policy-security]

五、防火墙特殊接口说明

默认情况下防火墙的G0/0/0接口为管理接口、管理接口与业务接口默认隔离。
G1/0/x接口为业务接口、可以连接路由器、使用路由协议、交换机、网康等等一些安全设备。

热门推荐
© 2023 北京元石科技有限公司 ◎ 京公网安备 11010802042949号