1. 组网需求
某公司以 Device 作为网络边界安全防护设备,连接公司内部网络和 Internet。公司只对内部提供Web 服务,不对外提供这些服务。现需要在设备上部署安全域,并基于以下安全需求进行域间策略
的配置。
• 与接口 GigabitEthernet1/0/1 相连的公司内部网络属于可信任网络,部署在 Trust 安全域,可以自由访问 Web 服务器和外部网络。
• 与接口 GigabitEthernet1/0/3 相连的外部网络属于不可信任网络,部署在 Untrust 安全域,不能访问公司内部网络和 Web 服务器。
• 与接口 GigabitEthernet1/0/2 相连的 Web server、FTP server 部署在 DMZ 安全域,可以被Trust 安全域的主机自由访问,但不允许访问处于 Trust 域的公司内部网络。
2. 组网图
3. 配置步骤
(1) 配置接口 IP 地址、路由保证网络可达,具体配置步骤略。
(2) 将接口加入安全域
向安全域 Trust 中添加接口 GigabitEthernet1/0/1。
system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
向安全