防火墙中nat server中的公网地址是属于untrust域还是local域

02-安全策略配置-新华三集团-H3C

1.2  安全策略应用场景

1.2.1  本设备需被其他设备访问

当其他设备与本设备的非管理接口连接，并需要访问该设备（如对本设备进行Ping、Telnet、访问Web页面或FTP服务等），或者由其他设备首先发起连接请求的各类协议报文交互（如动态路由协议、VPN隧道建立等）。则必须配置安全策略，放行访问本设备的相应报文，否则将无法成功建立连接。如图1-2所示。

图1-2 本设备需被其他设备访问的场景

以位于Trust安全域的PC（10.1.1.10）通过HTTPS协议访问设备（10.1.1.1）的Web管理界面为例，需要配置如下安全策略规则。

表1-1 允许PC访问本设备Web的安全策略规则

关于本设备需要配置安全策略放行协议报文的更多介绍，请参见1.4  安全策略放行本机报文。

1.2.2  本设备需访问其他设备

当本设备的非管理接口与其他设备连接，并需要主动访问其他设备（如对其他设备进行Ping、Telnet、访问FTP服务等），或者由本设备首先发起连接的各类协议交互（如动态路由协议、VPN隧道建立等）。则必须配置安全策略，放行本设备发出的相应报文，否则将无法成功建立连接。如图1-3所示。

图1-3 本设备需访问其他设备的场景

以本设备（10.1.1.1）访问位于Trust安全域的FTP Server（10.1.1.20）的FTP服务为例，需要配置如下安全策略规则。

表1-2 允许本设备访问FTP Server的安全策略规则

1.2.3  流量由本设备转发

对于仅需要本设备进行转发的流量，即经过本设备报文的源和目的均非设备本身，则必须配置安全策略，放行经过本设备的相应报文，否则将无法成功转发报文。如图1-4所示。

图1-4 流量由本设备转发的场景

以位于Trust安全域的PC（10.1.1.10）通过HTTP协议访问位于Untrust安全域的外网网站为例，需要配置如下安全策略规则。

表1-3 允许PC访问外网网站的安全策略规则

1.3  安全策略配置原则

为了能配置最优的安全策略方案，建议在配置安全策略时遵守如下原则：

·     配置放行报文的安全策略规则时建议采用最小范围开放原则，即在保证正常业务流量放行的情况下，配置最严谨的匹配条件。

·     配置安全策略规则时，请按照“深度优先”的原则（即控制范围小的、条件细化的在前，范围大的在后）进行配置。

·     若某个安全域既需要作为源安全域又需要作为目的安全域时，建议分别配置两条安全策略规则，以保证严格控制相同安全域内不同接口之间的报文互访。否则，此安全域内不同接口之间的流量可以互通。

·     建议将Local安全域相关的安全策略规则放在最前方，以保证本机业务报文能够正常处理或发送。

1.4  安全策略放行本机报文

当设备接收的报文需要本机处理或本机主动向外部发送报文时，需要配置安全策略放行相应安全域与Local安全域之间的报文互通。需要配置安全策略放行的常见业务（关于这部分业务的支持情况，请以设备实际情况为准）及其方法如表1-4所示。

表1-4 需配置开放安全策略的业务