1、防火墙的接口必须将其接入到某个区域,否则这个接口最终无法与其内部的多种功能配合,这个十分重要!!!!必须加入,不然ping都不行。
2、防火墙的域内流量是可以不配置任何安全策略的,只要将接口配置好IP地址,同时将接口加入到对应的安全区域后,就可以直接通信。
3、区域间的流量是通过安全策略进行控制的,默认的动作是全部禁止,输入security-policy,然后输入default-action [deny|permit] 的方式设置默认动作是禁止还是允许
4、接口视图上的service-manage xxx [deny|permit] 是对进入防火墙的流量进行控制,它有几个选项比如telnet,ssh,http,https,这几个都是用来控制防火墙,比如telnet登录,ssh登录,web方式登录。
5、输入security-policy 然后输入rule name xxx创建一个安全策略,安全策略的控制方式有下面几种:
1、原区域、目的区域
2、原IP地址,目的IP地址
3、原IP地址集合,目的IP地址集合
4、服务、服务集合(或者说是协议)
5、用户
6、时间
7、地区
我们在输入security-policy后,再输入rule name xxx,进入安全策略视图,然后输入destination-zone,或者source-zone,可以对流的出发区域和目的区域进行配置,然后就是souce-address与destination-address可以对流的原和目的地址进行配置,我们可以结合地址集合与该命令一起配置。
输入time-range可以对时间段进行配置,这个和ACL的配置一样。
输入user xxx 可以针对用户进行流的控制
输入service xxx 可以针对协议进行控制,也可以输入service protocol xxx 针对ICMP,TCP,UDP一些协议中的源端口和目的端口,ICMP的包类型作为条件。
profile xxx:这是配置安全配置文件的命令,当条件都符合后,会再由这个安全配置文件进行后面的操作。
最后:当条件都设立完后,输入action [deny|permit],对条件符合的动作进行设置。
