Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1981993
  • 博文数量: 424
  • 博客积分: 1291
  • 博客等级: 中尉
  • 技术积分: 2682
  • 用 户 组: 普通用户
  • 注册时间: 2012-08-13 01:34
个人简介

linux oracle 网络安全 编程

文章分类

全部博文(424)

文章存档

2016年(22)

2015年(53)

2014年(57)

2013年(242)

2012年(50)

分类: 网络与安全

2013-01-06 18:29:44

1、域基本分为:local、trust、dmz、untrust这四个是系统自带不能删除,除了这四个域之外,还可以自定义域。
2、域等级local>trust>dmz>untrust,自定义的域的优先级是可以自己调节的。
3、域与域之间如果不做策略默认是deny的,即任何数据如果不做策略是通不过的,如果是在同一区域的就相当于二层交换机一样直接转发。
4、当域与域之间有inbound和outbound区分,那怎么样方向的算是inbound,什么方向算是outbound呢?华为定义了优先级地的域向优先级高的域方向就是inbound,反之就是outbound,举个例子:
 
假如我要在untrust和trust这两个域之间做inbound和outbound策略:
 
policy interzone trust untrust inbound //untrust是源,trust是目标(低优先级向高优先级)
 policy 1
  action permit
  policy service service-set permitport
 policy 2
  action permit
  policy service service-set ping
 policy 3
  action deny
#
policy interzone trust untrust outbound//trust是源,untrust是目标(高优先级向低优先级)
 policy 1
  action permit
  policy service service-set permitport
 policy 2
  action permit                          
  policy service service-set ping
 
 
为什么要定义inbound和outbound呢?因为有时候你想单向限制某些行为!这是防火墙比路由器能做到更细化的策略。呵呵
阅读(19744) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~