创建安全区域并将接口加入安全区域
系统缺省已经创建了几个安全区域。但是如果用户还需要划分更多的安全等级,可以自行创建新的安全区域并定义其安全等级。安全区域创建完成后,还需要将相应接口加入安全区域。之后,从该接口接收的或发送出去的报文才会被认为是属于该安全区域。否则接口默认不属于任何安全区域,将不能通过该接口与其他安全区域通信。
背景信息
创建安全区域后,必须指定优先级,否则不能进行其他配置。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令firewall zone [ vpn-instance vpn-instance-name ] [ name ] zone-name,创建安全区域,并进入安全区域视图。
此处用到的VPN实例必须已创建。
根据以zone-name为名的安全区域是否已经在系统中存在,有如下两种情况:
-
安全区域已经存在
不必配置关键字name,执行该命令后将直接进入安全区域视图。
-
安全区域不存在
需要配置关键字name,以创建该安全区域,并进入安全区域视图。
创建安全区域时,需要遵循如下原则:
-
系统缺省安全区域无需创建,也不能删除。
-
不同VPN实例支持的安全区域数不同。
- USG5500:公网VPN实例最多支持32个安全区域,包括4个保留安全区域和28个自定义安全区域;其他VPN实例最多支持8个安全区域,包括4个保留区域和4个自定义安全区域。
- USG2110-X/2100/2200/5100和USG2100/2200/5100 BSR/HSR:公网VPN实例最多支持16个安全区域,包括4个保留安全区域和12个自定义安全区域;其他VPN实例最多支持8个安全区域,包括4个保留区域和4个自定义安全区域。
-
- 执行命令set priority security-priority,配置安全区域的优先级。
配置安全区域的安全级别时,需要遵循如下原则:
- 只能为自定义的安全区域设定安全级别。对于新建的安全区域,未设定其安全级别前,该安全区域不可使用。
- 安全级别一旦设定,不允许更改。
- 同一VPN实例中,两个安全区域不允许配置相同的安全级别。
- 执行命令add interface interface-type interface-number,将接口加入安全区域。
将接口加入安全区域时,需要遵循如下原则:
- 除Local安全区域外,使用其他所有安全区域前,均需手工将接口加入安全区域。
- 加入安全区域的接口可以是物理接口,也可以是逻辑接口。
- 加入一个安全区域的接口数不大于1024。
- 可选:执行命令description text,配置安全区域的描述信息。
描述信息虽然不是配置安全区域的必选操作,但是合适的描述信息将会非常有助于管理员理解系统配置并进行设备维护。
任务示例
本例将创建一个名为newzone1的新安全区域,代表管理员主机所在安全区域。由于管理员PC都比较安全,所以将该区域的安全级别定为90。设备与管理员相连所用的接口是GigabitEthernet 0/0/4,所以需要将该接口加入newzone1区域。
<sysname> system-view [sysname] firewall zone name newzone1 [sysname-zone-newzone1] set priority 90 [sysname-zone-newzone1] description The zone connected to Administrator [sysname-zone-newzone1] add interface GigabitEthernet 0/0/4
后续处理
通过执行display zone命令可以查看当前系统已经存在的安全区域及其配置信息。例如在完成上述举例后,查看信息如下。
[sysname] display zone local priority is 100 # trust priority is 85 interface of the zone is (0): # untrust priority is 5 interface of the zone is (0): # dmz priority is 50 interface of the zone is (0): # newzone1 description The zone connected to Administrator priority is 90 interface of the zone is (1): GigabitEthernet0/0/4 #
从上例中可以看出,当前系统存在5个安全区域。用户新建的安全区域newzone1是用来连接管理员设备,其安全级别是90。当前只有GigabitEthernet 0/0/4这一个接口属于该安全区域。