- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
11-安全域命令
本章节下载: 11-安全域命令 (182.77 KB)
目 录
1.1.2 display zone-pair security
1.1.6 security-zone intra-zone default permit
1.1.8 zone-pair vsip-filter enable
display security-zone命令用来显示安全域信息,包括缺省安全域和自定义的安全域信息。
【命令】
display security-zone [ name zone-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写。若不指定本参数,则显示所有安全域的信息。
【使用指导】
安全域的显示顺序是先显示缺省安全域信息,再按照安全域名称的字母排序显示自定义的安全域信息。
【举例】
# 显示安全域myZone的信息。
<Sysname> display security-zone name myZone
Name: myZone
Members:
GigabitEthernet2/1/3
GigabitEthernet2/1/4
GigabitEthernet2/1/1 in VLAN 3
GigabitEthernet2/1/5 in VLAN 7
表1-1 display security-zone命令输出信息描述
|
字段 |
描述 |
|
Name |
安全域名称 |
|
Members |
安全域成员,包括以下几种取值: · 三层接口名称 · 二层以太网接口名称和所属的VLAN编号 · None,该安全域中没有任何成员 |
display zone-pair security命令用来显示已创建的所有域间实例的信息。
【命令】
display zone-pair security
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有安全域间实例的信息。
<Sysname> display zone-pair security
Source zone Destination zone
DMZ Local
Trust Local
表1-2 display zone-pair security命令输出信息描述
|
字段 |
描述 |
|
Source zone |
源安全域名称 |
|
Destination zone |
目的安全域名称 |
import interface命令用来向安全域中添加三层接口成员,包括三层以太网接口、三层以太网子接口和其它三层逻辑接口。
undo import interface命令用来从安全域中移除三层接口成员。
【命令】
import interface layer3-interface-type layer3-interface-number
undo import interface layer3-interface-type layer3-interface-number
【缺省情况】
安全域中不存在任何三层接口成员。
【视图】
安全域视图
【缺省用户角色】
network-admin
【参数】
layer3-interface-type layer3-interface-number:指定添加到安全域的三层接口的接口类型和接口编号。
【使用指导】
缺省的安全域Local中不允许添加任何接口,其它缺省的安全域中允许添加接口。
可以通过多次执行本命令向同一个安全域添加多个三层接口成员。
一个三层接口只允许加入一个安全域。若要修改接口所属安全域时,需要执行以下操作:
(1) 首先在相应安全域中使用undo import interface命令将相应接口从原安全域中删除。
(2) 再使用import interface命令将其加入其它安全域。
【举例】
# 向安全域Trust中添加三层以太网接口GigabitEthernet2/1/1。
<Sysname> system-view
[Sysname] security-zone name trust
[Sysname-security-zone-trust] import interface gigabitethernet 2/1/1
import interface vlan命令用来向安全域中添加二层接口和VLAN成员。
undo import interface vlan命令用来从安全域中移除二层接口和VLAN成员。
【命令】
import interface layer2-interface-type layer2-interface-number vlan vlan-list
undo import interface layer2-interface-type layer2-interface-number vlan vlan-list
【缺省情况】
安全域中不存在任何二层接口和VLAN成员。
【视图】
安全域视图
【缺省用户角色】
network-admin
【参数】
layer2-interface-type layer2-interface-number:指定添加到安全域的二层接口的接口类型和接口编号。
vlan vlan-list:指定接口所属的VLAN列表。VLAN列表表示多个VLAN,表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>。其中,vlan-id1、vlan-id2为已创建的VLAN编号。&<1-10>表示前面的参数最多可以输入10次。vlan-id2必须大于vlan-id1。VLAN ID的取值范围为1~4094。
【使用指导】
缺省的安全域Local中不允许添加任何接口或者VLAN,其它缺省的安全域中允许添加接口和VLAN。
可以通过多次执行本命令,向安全域中添加多个二层接口和VLAN成员。
一个二层接口和所属的VLAN只允许加入一个安全域。若要修改接口或者VLAN所属安全域时,需要执行以下操作:
(1) 首先在相应安全域中使用undo import interface vlan命令将相应接口或者VLAN从原安全域中删除。
(2) 再使用import interface vlan命令将其加入其它安全域。
【举例】
# 向安全域Untrust中添加二层以太网接口GigabitEthernet2/1/1和对应的VLAN 10。
<Sysname> system-view
[Sysname] security-zone name untrust
[Sysname-security-zone-untrust] import interface gigabitethernet 2/1/1 vlan 10
security-zone命令用来创建安全域,并进入安全域视图。如果指定的安全域已经存在,则直接进入安全域视图。
undo security-zone命令用来删除安全域。
【命令】
security-zone name zone-name
undo security-zone name zone-name
【缺省情况】
不存在安全域。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
name zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-” ,不能是字符串“any”,使用字符“\”和“"”时需要使用转义字符\。
【使用指导】
当首次执行创建安全域或者创建安全控制策略的命令时,系统会自动创建以下缺省安全域:Local、Trust、DMZ、Management、Untrust、library和office。
可通过多次执行本命令,创建多个安全域。
删除一个安全域时,以此安全域为源域或目的域的域间实例也会被删除,而且在该域间实例上已经应用的安全策略会被自动解除应用。缺省安全域不能被删除。
【举例】
# 创建安全域zonetest,并进入该安全域视图。
<Sysname> system-view
[Sysname] security-zone name zonetest
[Sysname-security-zone-zonetest]
【相关命令】
· display security-zone
· import
security-zone intra-zone default permit命令用来配置同一安全域内接口间报文处理的缺省动作为permit。
undo security-zone intra-zone default permit命令用来恢复缺省情况。
【命令】
security-zone intra-zone default permit
undo security-zone intra-zone default permit
【缺省情况】
同一安全域内报文过滤的缺省动作为deny。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
对于同一安全域内接口间的报文,若设备上不存在当前域到当前域的域间实例,设备缺省会将其丢弃,可以通过配置安全域内接口间报文处理的缺省动作为permit来允许其通过。
【举例】
# 配置同一安全域内接口间报文处理的缺省动作为pemit。
<Sysname> system-view
[Sysname] security-zone intra-zone default permit
zone-pair security命令用来创建安全域间实例,并进入安全域间实例视图。如果指定的安全域实例已经存在,则直接进入安全域实例视图。
undo zone-pair security命令用来删除指定的安全域间实例。
【命令】
zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }
undo zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }
【缺省情况】
不存在安全域间实例。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
source source-zone-name:源安全域的名称,为1~31个字符的字符串,不区分大小写。指定的安全域必须已存在。
destination destination-zone-name:目的安全域的名称,为1~31个字符的字符串,不区分大小写。指定的安全域必须已存在。
any:表示任意安全域。
【使用指导】
安全域间实例用于指定安全控制策略(如ASPF策略、对象策略等)需要检测的业务流的源安全域和目的安全域,它们分别描述了经过网络设备的业务流的首包要进入的安全域和要离开的安全域。在安全域间实例上应用安全控制策略可实现对指定业务流进行安全控制策略检查。
当存在any到any域间实例时,仅当报文未匹配对应域间实例时,才会匹配any到any域间实例。如未配置any到any域间实例且报文未匹配对应域间实例时,则直接丢弃报文。
删除安全域间实例后,在域间实例上已经应用的安全控制策略将不生效,对应的引用关系同时被取消。
【举例】
# 创建源安全域Trust到目的安全域Untrust的安全域间实例。
<Sysname> system-view
[Sysname] zone-pair security source trust destination untrust
[Sysname-zone-pair-security-Trust-Untrust]
【相关命令】
· display zone-pair security
zone-pair vsip-filter enable命令用来在安全域间实例上开启SLB虚服务IP过滤功能。
undo zone-pair vsip-filter enable命令在安全域间实例上关闭SLB虚服务IP过滤功能。
【命令】
zone-pair vsip-filter enable
undo zone-pair vsip-filter enable
【缺省情况】
安全域间LB虚服务IP过滤功能处于关闭状态。
系统视图
network-admin
【使用指导】
该功能一般应用在SLB业务的安全域间实例处理流程中。对于通过虚服务IP从外部网络访问内部网络的流量,当该功能处于关闭状态时,设备使用实服务器IP匹配包过滤规则中的目的IP;当该功能处于开启状态时,设备使用虚服务IP匹配包过滤规则中的目的IP。
# 应用IPv4高级ACL 3000对源安全域Untrust到目的安全域DMZ的报文进行过滤,允许目的IP为SLB虚服务地址10.10.10.10的报文通过,并开启域间SLB虚服务地址过滤功能。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit ip source any destination 10.10.10.10 0
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] zone-pair security source untrust destination dmz
[Sysname-zone-pair-security-Untrust-DMZ] packet-filter 3000
[Sysname-zone-pair-security-Untrust-DMZ] quit
[Sysname] zone-pair vsip-filter enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
