- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-安全域
本章節下載: 06-安全域 (141.06 KB)
安全域是一個邏輯概念,用於管理設備上安全需求相同的多個接口。管理員將安全需求相同的接口進行分類,並劃分到不同的安全域,統一應用安全策略,簡化配置,方便管理。
管理員創建安全域後,可以給安全域添加多個成員,成員的類型包括:二層物理接口加VLAN、三層物理接口/三層以太網子接口/其它三層邏輯接口。
配置安全域後,設備上各接口的報文轉發遵循以下規則:
一個安全域中的接口與一個不屬於任何安全域的接口之間的報文,會被丟棄。
屬於同一個安全域的各接口之間的報文缺省會被丟棄。
安全域之間的報文由安全策略進行安全檢查,並根據檢查結果放行或丟棄。若安全策略不存在或不生效,則報文會被丟棄。
非安全域的接口之間的報文會被丟棄。
目的地址或源地址為本機的報文,缺省會被丟棄,若該報文與安全策略匹配,則由安全策略進行安全檢查,並根據檢查結果放行或丟棄。
· 同一個三層接口隻允許加入一個安全域。
· 同一個“二層接口和VLAN”的組合隻能加入到一個安全域中。
· 當報文未匹配對應安全域間實例時,若存在any到any的安全域間實例,則匹配any到any安全域間實例,否則直接丟棄報文。
· Management和Local安全域間之間的報文缺省會被允許。
· Management和Local安全域間之間的報文隻能匹配Management與Local之間的安全域間實例,不會匹配any到any的安全域間實例。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
