• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-网络

目录

06-安全域

本章节下载 06-安全域  (141.06 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_WCG(V7)/05/202202/1553477_30005_0.htm

06-安全域

特性简介

安全域是一个逻辑概念,用于管理设备上安全需求相同的多个接口。管理员将安全需求相同的接口进行分类,并划分到不同的安全域,统一应用安全策略,简化配置,方便管理。

管理员创建安全域后,可以给安全域添加多个成员,成员的类型包括:二层物理接口加VLAN、三层物理接口/三层以太网子接口/其它三层逻辑接口。

配置安全域后,设备上各接口的报文转发遵循以下规则:

一个安全域中的接口与一个不属于任何安全域的接口之间的报文,会被丢弃。

属于同一个安全域的各接口之间的报文缺省会被丢弃。

安全域之间的报文由安全策略进行安全检查,并根据检查结果放行或丢弃。若安全策略不存在或不生效,则报文会被丢弃。

非安全域的接口之间的报文会被丢弃。

目的地址或源地址为本机的报文,缺省会被丢弃,若该报文与安全策略匹配,则由安全策略进行安全检查,并根据检查结果放行或丢弃。

使用限制和注意事项

·     同一个三层接口只允许加入一个安全域。

·     同一个“二层接口和VLAN”的组合只能加入到一个安全域中。

·     当报文未匹配对应安全域间实例时,若存在anyany的安全域间实例,则匹配anyany安全域间实例,否则直接丢弃报文。

·     ManagementLocal安全域间之间的报文缺省会被允许。

·     ManagementLocal安全域间之间的报文只能匹配ManagementLocal之间的安全域间实例,不会匹配anyany的安全域间实例。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们