防火墙安全策略问题

3.1  H3C 防火墙安全策略与域间策略

3.1.1  域间策略

1. 域间策略介绍

防火墙加入安全域的概念之后，安全管理员将安全需求相同的接口或IP地址进行分类（划分到不同的域），能够实现策略的分层管理，管理员只需要部署各域之间的域间策略即可。

域间策略是一种安全策略，应用于域间实例之间。域间实例用于指定安全策略所需检测报文流的源安全域和目的安全域，即首个报文要进入的安全域和要离开的安全域。在域间实例上应用域间策略可实现对报文流的检查，并根据检查结果允许或拒绝其通过。域间策略通过配置域间策略规则实现。

一个域间策略中可以包含多条用于识别报文流的规则，称为域间策略规则。这里的规则是指通过指定对象组来描述报文匹配条件的判断语句，匹配条件可以是报文的源地址、目的地址、服务类型等。设备依照这些规则识别出特定的报文，并根据设定的动作对其进行处理。

IPv4域间策略规则可以指定引用的对象，包括以下几种：

1、源IP地址对象：用于与报文的源IP地址进行匹配

2、目的IP地址对象：用于与报文的目的IP地址进行匹配

3、服务对象：用于与报文携带的服务类型进行匹配，如ICMP、TCP

4、VPN实例：用于与报文的VPN实例进行匹配

当一个域间策略中包含多条规则时，报文会按照一定的顺序与这些规则进行匹配，一旦匹配上某条规则便结束匹配过程。域间策略规则的匹配顺序与规则的创建顺序有关，先创建的规则优先进行匹配。域间策略规则的显示顺序与匹配顺序一致，从上到下依次匹配。同时可以通过命令移动规则位置来调整规则的匹配顺序。

2. 域间策略实现

NGFW防火墙上配置域间策略有两种方式，一种是基于ACL的包过滤策略，一种是基于对象组的对象策略。两者同时配置时对象策略的优先级高于包过滤策略。

1、基于ACL的包过滤策略：

zone-pair security source trust destination untrust

packet-filter 3000

2、基于对象组的对象策略

zone-pair security source trust destination untrust

object-policy apply ip market-1