ACG 1000的策略配置

  policy

policy命令用来配置安全策略。

no policy命令用来删除安全策略。

【命令】

Policy in-interface out-interface source-address dest-address service-name user-name application-name schedule-name terminal {permit | deny} [ id ]

no policy id

【视图】

系统视图

【参数】

in-interface：安全策略匹配的源接口，设备上可用的接口如ge0，也可为any。

out-interface：安全策略匹配的目的接口，设备上可用的接口如ge0，也可为any。

source-address：安全策略匹配的源IP地址，可以引用某地址对象或者地址组，any表示源地址为任意地址。

dest-address：安全策略匹配的目的地址，可以引用某个地址对象或者地址组，any表示源地址为任意地址。

service-name：安全策略匹配的服务对象，可以引用服务对象或者服务组。

user-name：指定安全策略匹配的用户对象名称。

application-name：指定安全策略匹配的应用对象名称。

schedule-name：指定安全策略生效的时间对象名称。

id：安全策略的唯一标识。范围是1～9999或50001～65535，其中50001～65535是集中网关创建的策略。

permit：允许匹配的流量通过。

deny：丢弃匹配的流量。

【使用指导】

出入接口、源目的ip地址、服务、应用、用户、时间等匹配条件除了any或者always外，需要配置具体的对象，才能被安全策略引用。

【举例】

# 创建一条服务是TCP，其余匹配条件为any，动作是允许的安全策略。

host# system-view

host(config)# policy any any any any tcp any any always any permit