防火墙怎么用对象策略实现action pass

# object-policy ip any-any 

 rule 0 pass 

 # 

 security-zone name Trust 

 import interface GigabitEthernet1/0/0 

 # 

 security-zone name Untrust 

 import interface GigabitEthernet1/0/1 

 # 

 zone-pair security source Trust destination Untrust 

 object-policy apply ip any-any 

 #

 zone-pair security source Untrust destination Trust 

 object-policy apply ip any-any

在这基础上还看到个另外版本:https://zhiliao.h3c.com/questions/dispcont/6257

2. 配置步骤

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

system-view

security-zone name trust

import interface gigabitethernet 1/0/1

# 向安全域DMZ中添加接口GigabitEthernet1/0/2。

security-zone name dmz

import interface gigabitethernet 1/0/2

# 向安全域Untrust中添加接口GigabitEthernet1/0/3。

security-zone name untrust

import interface gigabitethernet 1/0/3

# 配置ACL 3500，定义规则：允许IP流量。

acl number 3500

rule permit ip

# 创建源安全域Trust到目的安全域Untrust的安全域间实例，放通trust到untrust区域，此时untrust访问不了trust

zone-pair security source trust destination untrust

packet-filter 3500

# 创建源安全域Trust到目的安全域DMZ的安全域间实例，放通trust到DMZ区域的，此时dmz访问不了trust

zone-pair security source trust destination dmz

packet-filter 3500

#放通trust区域到local区域，如果不放通，trust区域终端访问不了设备上的地址

zone-pair security source trust destination local

packet-filter 3500

#放通Local区域到其他区域   //如果不放通那么设备上就ping不同到任何区域的终端地址

zone-pair security source Local destination Any
 packet-filter 3500

#如果设备上多个端口加入同一个安全域，那么还需要加一条下面命令，否则同一个端口下面的终端之间是不能互通的。

security-zone intra-zone default permit