现在防火墙是zone-pair security 域间策略，请问如何更改成安全策略

可以自动转换的

3.2.1  安全策略和域间策略版本区别

防火墙D022之前版本（不包括D022版本）只能支持域间策略，最新版本防火墙即D022版本之后版本支持安全策略与域间策略共存。

查询防火墙版本方法：

1、查询到此台设备为D032版本：

<H3C>system-view

[H3C]probe

[H3C-probe]display system internal version

H3C SecPath F1070 V900R003B01D632SP20

Comware V700R001B64D032SP20

2、查询此板卡为D012版本：

[H3C-probe]display system internal version

H3C SecPath F1060 V900R003B01D612SP20

Comware V700R001B64D012SP20

3.3  H3C 防火墙安全策略与域间策略相互转换

3.3.1  安全策略与域间策略转换限制

1、 只有配置对象策略的域间策略才能转换为安全策略，使用包过滤策略域间策略不能转换为安全策略。

2、 当将对象策略转换为安全策略后，设备会强制将转换后的安全策略作为主启动文件，之前转换的对象策略配置文件还保存在设备中。

3、 对象策略转换为安全策略时，如果需要转换的对象策略配置文件不是设备正在运行的配置文件时，转换为安全策略后，日志提示需要重启设备，此时设备重启后的启动文件为转换后的安全策略配置文件，并不是转换前的下一次启动配置文件，

3.3.2  安全策略与域间策略转换方法

1、转换前一定要查看当前启动文件是否是需要转换的启动文件。

<H3C>dis startup

MainBoard:

Next main startup saved-configuration file: flash:/startup.cfg

2、配置对象策略到安全策略的转换命令

<H3C>system-view

[H3C]security-policy switch-from object-policy startup.cfg abc.cfg                                  

Configuration switching begins...

Object policies in the specified configuration file have been switched to security policies.

Reboot the device to make the configuration take effect. Reboot now? [Y/N]:Y

注：startup.cfg为设备配置文件、abc.cfg为转换后的安全策略配置文件（其中abc可以自定义）

转换后设备会将包含安全策略的配置文件作为下次启动文件：

<H3C>dis startup

MainBoard:

Next main startup saved-configuration file: flash:/abc.cfg

将对象策略配置转换为安全策略配置

1.6.1  功能简介

此功能可以将指定配置文件中的所有对象策略规则批量转换为对应的安全策略规则，从而实现将对象策略快速切换为安全策略的目的，切换后设备对流量的控制效果与切换前保持一致。配置转换完成后对象策略功能立即失效。

对象策略配置转换为安全策略配置的过程如下：

(1)     系统将所需转换的配置文件另存为指定名称的配置文件。

(2)     在另存后的配置文件中，设备按照对象策略规则在设备上的显示顺序，将其逐条转换为对应的安全策略规则。未被安全域间实例引用的对象策略中的规则，被转换为安全策略规则后将被置为失效状态。

(3)     转换完成后，另存后配置文件中的所有对象策略会被删除，其与安全域间实例之间的引用关系也会被取消。

(4)     系统将另存后的配置文件设置为下次启动的主配置文件。

(5)     重启设备后，转换后的安全策略配置生效。

(6)     手动转换前，请先执行undo security-policy disable命令开启安全策略功能，并保存配置。

1.6.2  配置限制和指导

·     此功能仅支持在从不支持安全策略功能的软件版本升级到支持安全策略的软件版本的应用场景中使用。

·     手动转换前，请勿进行任何有关安全策略的操作，否则无法进行配置转换。

·     软件版本降级到不支持安全策略的版本时，需要将下次启动的主配置文件设置为转换前的配置文件，同时安全策略功能也将失效。为使指定的下次启动的主配置文件生效必须重启设备。因此在这种情况下不能使用ISSU（In-Service Software Upgrade，不中断业务升级）方式降级设备的软件版本。

·     自动转换方式时，为使转换后的安全策略生效必须重启设备，因此在这种情况下不能使用ISSU方式升级设备的软件版本。

·     配置转换时，需要在设备的固定存储介质（如Flash等）上进行，请勿在设备的非固定存储介质上（如硬盘等）进行。

1.6.3  配置准备

在转换配置前，需要在对象策略配置中做好如下准备：

(1)     请检查每个对象策略中所有规则的排列顺序是否都遵循了“深度优先”的原则。若未遵循，则需按照“深度优先”的原则对这些规则进行重新排序；

(2)     请检查源安全域是any或目的安全域是any的安全域间实例上是否已引用对象策略。若已引用，则需合理修改对象策略后，删除这些安全域间实例的配置；

(3)     请检查配置文件加密功能是否处于开启状态。若已开启，则需关闭配置文件加密功能；

(4)     手动转换前，请先将设备的软件版本升级到支持安全策略的软件版本。有关设备软件升级的详细介绍，请参见“基础配置指导”中的“软件升级”。

1.6.4  手动转换对象策略

(1)     进入系统视图。

system-view

(2)     将对象策略配置转换为安全策略配置。

security-policy switch-from object-policy object-filename security-filename

1.6.5  自动转换对象策略

1. 配置限制和指导

此种转换方式下，配置文件被另存的规则是：在原有配置文件末尾加“_secp”后缀。例如，将startup.cfg配置文件另存为startup_secp.cfg。

2. 配置步骤

(1)     将设备软件升级到支持安全策略功能的版本。有关设备软件升级的详细介绍，请参见“基础配置指导”中的“软件升级”。

(2)     重启设备。