一. 基本概念
- 安全域:是一个逻辑概念,用于管理安全防护设备上的安全需求相 同的多个接口,便于实现安全控制策略的统一管理。
- 缺省安全域:当首次创建安全策略或域间策略时,系统会自动创建 以下安全域:local、trust、DMZ,Management和untrust。缺省安全域不能被删掉。
- DMZ:指介于严格的军事管制区域和松散的公共区域之间的一种有 着部分管制的区域。安全域中引用这一术语,指代一个逻辑上和物理 上都与内部网络和外部网络分离的区域。通常部署网络时,将那些需 要被公共访问的设备(如 Web server、FTP server 等)放置于此。
二. 基于安全域的报文处理规则
创建安全域之后,设备上各接口的报文转发遵循以下规则:
- 一个安全域中的接口与一个不属于任何安全域接口之间的报文,会被丢弃。
- 属于同一个安全域接口之间的报文缺省会被丢弃。
- 安全域之间的报文由域间策略进行安全检查,并根据检查结果放行或丢弃。若域间策略不存在或不生效,则报文会被丢弃。
- 非安全区域之间的报文会被丢弃。
- 目的地址与或源地址为本机的报文,缺省丢弃。若该报文与域间策略匹配,则由域间策略进行安全检查,并根据检查结果放行或丢弃。
三. 安全域的安全级别
数字越大表示该区域的网络越可靠
