Chinaunix首页 | 论坛 | 博客
  • 博客访问: 12246
  • 博文数量: 1
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 10
  • 用 户 组: 普通用户
  • 注册时间: 2014-04-28 09:05
文章分类
文章存档

2014年(1)

我的朋友
最近访客

分类: 网络与安全

2014-04-28 09:05:38

1、域基本分为:local、trust、dmz、untrust这四个是系统自带不能删除,除了这四个域之外,还可以自定义域。
2、域等级local>trust>dmz>untrust,自定义的域的优先级是可以自己调节的。
3、域与域之间如果不做策略默认是deny的,即任何数据如果不做策略是通不过的,如果是在同一区域的就相当于二层交换机一样直接转发。
4、当域与域之间有inbound和outbound区分,那怎么样方向的算是inbound,什么方向算是outbound呢?华为定义了优先级地的域向优先级高的域方向就是inbound,反之就是outbound,举个例子:
 
假如我要在untrust和trust这两个域之间做inbound和outbound策略:
 
policy interzone trust untrust inbound //untrust是源,trust是目标(低优先级向高优先级)
 policy 1
  action permit
  policy service service-set permitport
 policy 2
  action permit
  policy service service-set ping
 policy 3
  action deny
#
policy interzone trust untrust outbound//trust是源,untrust是目标(高优先级向低优先级)
 policy 1
  action permit
  policy service service-set permitport
 policy 2
  action permit                          
  policy service service-set ping
 
 
为什么要定义inbound和outbound呢?因为有时候你想单向限制某些行为!这是防火墙比路由器能做到更细化的策略。呵呵
阅读(2310) | 评论(0) | 转发(0) |
0

上一篇:没有了

下一篇:没有了

给主人留下些什么吧!~~