- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
19-安全策略FAQ
本章节下载: 19-安全策略FAQ (149.19 KB)
默认是deny的。
主要包括包过滤、ASPF、对象策略和安全策略。
支持5层深度的引用。
nat server是在安全策略匹配前进行转换操作,安全策略匹配nat server转换后的IP地址;
nat outbound是在安全策略匹配后进行转换,安全策略匹配nat outbound转换前的IP地址。
对隧道流量,需要配置两条策略。在解封装方向,需要配置如下两条策略:
· 物理入接口所在安全域到Local域之间的安全策略;
· Tunnel或者VT所在安全域到物理出接口所在安全域之间的安全策略。
加封装方向需要配置如下两条策略:
· 物理入接口所在安全域到tunnel或者VT口所在安全域之间的安全策略;
· Local域到物理出接口所在安全域之间的安全策略。
安全策略功能与对象策略功能在设备上不能同时使用,当安全策略功能处于开启状态时,首次进入安全策略视图后,对象策略功能立即失效。
当安全策略与包过滤同时配置时,因为安全策略对报文的处理在包过滤之前,报文与安全策略规则匹配成功后,不再进行包过滤处理,所以请合理配置安全策略和包过滤,否则可能会导致配置的包过滤不生效。
配置安全策略时,请按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
配置安全策略前,请首先确认是否需要将设备上已存在的对象策略转换为安全策略,若需要,请务必先将对象策略转换为安全策略。因为首次进入安全策略视图后对象策略功能立即失效。
安全策略引用的地址对象组和服务对象组内容为空时,任何报文都不会匹配这条规则,报文会进行正常转发或丢弃取决于能否匹配上其他的安全策略规则、对象策略规格、包过滤规则。
在跨VLAN模式Bridge转发的应用场景中,策略匹配统计功能仅统计安全策略和内容安全丢弃的报文,不统计安全策略和内容安全允许通过的报文。
不会。
在多Context应用场景中,配置非缺省Context的内容安全业务前,必须先激活缺省Context的应用层检测引擎。可通过在缺省Context的安全策略页面单击<提交>按钮,激活缺省Context的应用层检测引擎。
设备上的安全策略加速功能默认开启,且不能手动关闭。
安全策略规则中引用对象组的内容发生变化后,需要通过accelerate anhanced enable 命令重新激活安全策略的加速功能。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
