目录 1 安全域 1-1 1.1 安全域配置命令 1-1 1.1.1 display security-zone 1-1 1.1.2 display zone-pair security 1-2 1.1.3 import interface 1-2 1.1.4 security-zone 1-3 1.1.5 security-zone intra-zone default permit 1-4 1.1.6 zone-pair security 1-5 i
1 安全域 设备各款型对于本节所描述的特性情况有所不同, 详细差异信息如下 : 型号特性描述 MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/ 810-LM-HK/810-W-LM-HK/810-LMS/810-LUS MSR2600-10-X1 MSR 2630 MSR3600-28/3600-51 MSR3600-28-SI/3600-51-SI MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC MSR 3610/3620/3620-DP/3640/3660 MSR5620/5660/5680 安全域 仅 MSR810-LMS/810-LUS 不 1.1 安全域配置命令 1.1.1 display security-zone display security-zone 命令用来显示安全域信息, 包括缺省安全域和自定义的安全域信息 命令 display security-zone [ name zone-name ] 视图 任意视图 缺省用户角色 network-operator 参数 name zone-name: 安全域的名称, 为 1~31 个字符的字符串, 不区分大小写 若不指定本参数, 则显示所有安全域的信息 使用指导 安全域的显示顺序是先显示缺省安全域信息, 再按照安全域名称的字母排序显示自定义的安全域信息 举例 # 显示安全域 myzone 的信息 <Sysname> display security-zone name myzone 1-1
Name: myzone Members: GigabitEthernet1/0/3 GigabitEthernet1/0/4 表 1-1 display security-zone 命令输出信息描述 字段 描述 Name 安全域名称 安全域成员, 包括以下几种取值 : Members 三层接口名称 None, 该安全域中没有任何成员 1.1.2 display zone-pair security display zone-pair security 命令用来显示已创建的所有域间实例的信息 命令 display zone-pair security 视图 任意视图 缺省用户角色 network-operator 举例 # 显示所有安全域间实例的信息 <Sysname> display zone-pair security Source zone Destination zone DMZ Local Trust Local 表 1-2 display zone-pair security 命令输出信息描述 字段 描述 Source zone Destination zone 源安全域名称 目的安全域名称 1.1.3 import interface import interface 命令用来向安全域中添加三层接口成员, 包括三层以太网接口 三层以太网子接口和其它三层逻辑接口 undo import interface 命令用来从安全域中移除三层接口成员 1-2
命令 import interface layer3-interface-type layer3-interface-number undo import interface layer3-interface-type layer3-interface-number 缺省情况 安全域中不存在任何三层接口成员 视图 安全域视图 缺省用户角色 参数 layer3-interface-type layer3-interface-number: 指定添加到安全域的三层接口的接口类型和接口编号 使用指导 缺省的安全域 Local 中不允许添加任何接口, 其它缺省的安全域中允许添加接口 可以通过多次执行本命令向同一个安全域添加多个三层接口成员 一个三层接口只允许加入一个安全域 若要修改接口所属安全域时, 需要执行以下操作 : (1) 首先在相应安全域中使用 undo import interface 命令将相应接口从原安全域中删除 (2) 再使用 import interface 命令将其加入其它安全域 举例 # 向安全域 Trust 中添加三层以太网接口 GigabitEthernet1/0/1 [Sysname] security-zone name trust [Sysname-security-zone-trust] import interface gigabitethernet 1/0/1 1.1.4 security-zone security-zone 命令用来创建安全域, 并进入安全域视图 如果指定的安全域已经存在, 则直接进入安全域视图 undo security-zone 命令用来删除安全域 命令 security-zone name zone-name undo security-zone name zone-name 缺省情况 设备没有安全域 视图 系统视图 缺省用户角色 1-3
参数 name zone-name: 安全域的名称, 为 1~31 个字符的字符串, 不区分大小写, 不能包含字符 - 和 %, 使用字符 \ 和 " 时需要使用转义字符 \, 不能是字符串 any 使用指导 当首次执行创建安全域或者创建域间策略的命令时, 系统会自动创建以下缺省安全域 :Local Trust DMZ Management 和 Untrust 可通过多次执行本命令, 创建多个安全域 删除一个安全域时, 以此安全域为源域或目的域的域间实例也会被删除, 而且在该域间实例上已经应用的安全策略会被自动解除应用 缺省安全域不能被删除 举例 # 创建安全域 zonetest, 并进入该安全域视图 [Sysname] security-zone name zonetest [Sysname-security-zone-zonetest] 相关配置 display security-zone import interface 1.1.5 security-zone intra-zone default permit security-zone intra-zone default permit 命令用来配置同一安全域内接口间报文处理的缺省动作为 permit undo security-zone intra-zone default permit 命令用来恢复缺省情况 命令 security-zone intra-zone default permit undo security-zone intra-zone default permit 缺省情况 同一安全域内报文过滤的缺省动作为 deny 视图 系统视图 缺省用户角色 使用指导 对于同一安全域内接口间的报文, 若设备上不存在当前域到当前域的域间实例, 设备缺省会将其丢弃, 可以通过配置安全域内接口间报文处理的缺省动作为 permit 来允许其通过 举例 # 配置同一安全域内接口间报文处理的缺省动作为 pemit 1-4
[Sysname] security-zone intra-zone default permit 1.1.6 zone-pair security zone-pair security 命令用来创建安全域间实例, 并进入安全域间实例视图 如果指定的安全域实例已经存在, 则直接进入安全域实例视图 undo zone-pair security 命令用来删除指定的安全域间实例 命令 zone-pair security source { source-zone-name any } destination { destination-zone-name any } undo zone-pair security source { source-zone-name any } destination { destination-zone-name any } 缺省情况 无任何安全域间实例 视图 系统视图 缺省用户角色 参数 source source-zone-name: 源安全域的名称, 为 1~31 个字符的字符串, 不区分大小写 指定的安全域必须已存在 destination destination-zone-name: 目的安全域的名称, 为 1~31 个字符的字符串, 不区分大小写 指定的安全域必须已存在 any: 表示任意安全域 使用指导 安全域间实例用于指定安全策略 ( 如 ASPF 策略 对象策略等 ) 需要检测的业务流的源安全域和目的安全域, 它们分别描述了经过网络设备的业务流的首包要进入的安全域和要离开的安全域 在安全域间实例上应用安全策略可实现对指定业务流进行安全策略检查 当存在 any 到 any 域间实例时, 仅当报文未匹配对应域间实例时, 才会匹配 any 到 any 域间实例 如未配置 any 到 any 域间实例且报文未匹配对应域间实例时, 则直接丢弃报文 删除安全域间实例后, 在域间实例上已经应用的安全策略将不生效, 对应的引用关系同时被取消 举例 # 创建源安全域 Trust 到目的安全域 Untrust 的安全域间实例 [Sysname] zone-pair security source trust destination untrust [Sysname-zone-pair-security-Trust-Untrust] 相关命令 display zone-pair security 1-5