最近在研究F1030对象策略转换为安全策略的问题

1.10  将对象策略转换为安全策略

1.10.1  功能简介

安全策略与对象策略不能同时生效，当设备配置安全策略时，对象策略会立即失效导致业务中断，所以首次配置安全策略前，请务必先将对象策略转换为安全策略。此功能可以将指定配置文件中的所有对象策略规则批量转换为对应的安全策略规则，从而实现将对象策略快速切换为安全策略的目的，切换后设备对流量的控制效果与切换前保持一致。配置转换完成后对象策略会被删除，其与安全域间实例之间的引用关系也会被取消，未被安全域间实例引用的对象策略中的规则，被转换为安全策略规则后将被置为失效状态。

1.10.2  配置限制和指导

·     手动转换前，请先执行undo security-policy disable命令开启安全策略功能，并保存配置。

·     手动转换前，请勿配置安全策略，否则无法进行配置转换。

·     自动转换功能仅支持在从不支持安全策略功能的软件版本升级到支持安全策略的软件版本的应用场景中使用。

·     自动转换方式时，为使转换后的安全策略生效必须重启设备，因此在这种情况下不能使用ISSU方式升级设备的软件版本。

·     在对象策略未进行加速的情况下，若源IP地址或目的IP地址应用的对象组中引用了用户或用户组，则转换为安全策略后，此源IP地址或目的IP地址作为过滤条件会失效。

·     配置转换时，需要在设备的固定存储介质（如Flash等）上进行，请勿在设备的非固定存储介质上（如硬盘等）进行。

·     将对象策略转换为安全策略后，若再需要通过配置回滚功能恢复对象策略，请在配置回滚完成后，执行security-policy disable命令关闭安全策略功能。

1.10.3  配置准备

在转换配置前，需要在对象策略配置中做好如下准备：

(1)     请检查每个对象策略中所有规则的排列顺序是否都遵循了“深度优先”的原则。若未遵循，则需按照“深度优先”的原则对这些规则进行重新排序；

(2)     请检查源安全域是any或目的安全域是any的安全域间实例上是否已引用对象策略。若已引用，则需合理修改对象策略后，删除这些安全域间实例的配置；

(3)     请检查每个对象策略是否都已开启加速功能。若均未开启，则需开启所有对象策略的加速功能；

(4)     请检查配置文件加密功能是否处于开启状态。若已开启，则需关闭配置文件加密功能。

1.10.4  手动转换对象策略

(1)     进入系统视图。

system-view

(2)     将对象策略配置转换为安全策略配置。

security-policy switch-from object-policy object-filename security-filename

1.10.5  自动转换对象策略

1. 硬件适配关系

本特性的支持情况与设备型号有关，请以设备的实际情况为准。

2. 配置限制和指导

此种转换方式下，配置文件被另存的规则是：在原有配置文件末尾加“_secp”后缀。例如，将startup.cfg配置文件另存为startup_secp.cfg。

3. 配置步骤

(1)     将设备软件升级到支持安全策略功能的版本。有关设备软件升级的详细介绍，请参见“基础配置指导”中的“软件升级”。

(2)     重启设备。