问

配置转换-1

域间策略/安全域

2025-07-22提问

0关注
0收藏，255浏览

zhiliao_lKnObW

zhiliao_lKnObW 三段

粉丝：1人关注：11人

问题描述：

service 1

tcp dst-port 8191 src-port 0 65535 timeout 3600

tcp dst-port 8192 src-port 0 65535 timeout 3600

山石防火墙的配置现在要转成华三

最佳答案

无名之辈

无名之辈九段

粉丝：112人关注：0人

您好，参考

一、基础配置说明

华三防火墙通过高级 ACL（访问控制列表） 定义流量匹配规则，再结合安全策略（security-policy） 允许流量通过，并在策略中指定超时时间。

原规则中 “src-port 0 65535” 表示允许任意源端口，华三中无需额外限制源端口（默认允许所有）。

“timeout 3600” 对应华三的 “tcp-timeout” 会话超时时间（单位：秒）。

二、详细配置步骤

1. 创建 ACL，匹配目标端口 8191 和 8192

# 创建高级ACL 3000，用于匹配TCP目的端口8191
acl number 3000
 rule 5 permit tcp destination-port eq 8191

# 创建高级ACL 3001，用于匹配TCP目的端口8192
acl number 3001
 rule 5 permit tcp destination-port eq 8192
说明：ACL 3000/3001 分别精准匹配原规则中的两个目的端口，“permit tcp” 表示允许 TCP 协议。

2. 配置安全策略，允许流量并设置超时时间

假设流量是从 “trust” 区域到 “untrust” 区域（需根据实际网络区域调整）：

# 进入安全策略配置视图
security-policy
 rule name permit_tcp_8191  # 策略名称，自定义
  source-zone trust        # 源区域（根据实际修改）
  destination-zone untrust  # 目的区域（根据实际修改）
  source-address any       # 允许任意源地址（对应原src-port 0-65535的任意源）
  destination-address any  # 允许任意目的地址
  service acl 3000         # 关联ACL 3000（匹配8191端口）
  action permit            # 动作：允许
  tcp-timeout 3600         # 超时时间3600秒（对应原配置）

 rule name permit_tcp_8192  # 第二个策略，匹配8192端口
  source-zone trust
  destination-zone untrust
  source-address any
  destination-address any
  service acl 3001         # 关联ACL 3001（匹配8192端口）
  action permit
  tcp-timeout 3600

三、关键参数对照表

山石配置项	华三对应配置	说明
tcp dst-port 8191	acl 3000 rule permit tcp destination-port eq 8191	匹配 TCP 目的端口 8191
tcp dst-port 8192	acl 3001 rule permit tcp destination-port eq 8192	匹配 TCP 目的端口 8192
src-port 0 65535	source-address any + 不限制源端口	允许任意源端口和源地址
timeout 3600	tcp-timeout 3600	TCP 会话超时时间 3600 秒

四、注意事项

区域调整：配置中的 “source-zone” 和 “destination-zone” 需根据实际网络拓扑修改（如 trust/untrust/dmz 等）。
ACL 与策略关联：确保安全策略中的 “service acl” 正确关联对应的 ACL 编号（3000 对应 8191，3001 对应 8192）。
超时时间生效：华三的 “tcp-timeout” 仅对该策略匹配的会话生效，不影响其他 TCP 会话的默认超时（默认通常为 1800 秒）。