HC110310002HCNA-Security-CBSN第二章防火墻基礎(chǔ)技術(shù)V2.0

修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC110310002華為防火墻V300R001V2.0開(kāi)發(fā)/優(yōu)化者時(shí)間審核人開(kāi)發(fā)類(lèi)型（新開(kāi)發(fā)/優(yōu)化）陳靈光2011.7余雷第一版姚傳哲2013.5余雷第二版本頁(yè)不打印第二章

防火墻基礎(chǔ)技術(shù)目標(biāo)學(xué)完本課程后，您將能夠:了解防火墻的定義和分類(lèi)理解防火墻的主要功能和技術(shù)掌握防火墻設(shè)備管理的方法掌握防火墻的基本配置目錄防火墻概述防火墻功能特性防火墻設(shè)備管理防火墻基本配置防火墻特征邏輯區(qū)域過(guò)濾器隱藏內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)自身安全保障主動(dòng)防御攻擊內(nèi)網(wǎng)防火墻被入侵路由器未經(jīng)防火墻流量可防護(hù)嗎？防火墻分類(lèi)按照形態(tài)分為硬件防火墻軟件防火墻按照保護(hù)對(duì)象分為單機(jī)防火墻網(wǎng)絡(luò)防火墻按照訪問(wèn)控制方式分為包過(guò)濾防火墻代理防火墻狀態(tài)檢測(cè)防火墻防火墻分類(lèi)—包過(guò)濾防火墻APP數(shù)據(jù)鏈路層TCP層IP層TCP層IP層只檢測(cè)報(bào)頭IPTCP1.無(wú)法關(guān)聯(lián)數(shù)據(jù)包之間關(guān)系2.無(wú)法適應(yīng)多通道協(xié)議3.通常不檢查應(yīng)用層數(shù)據(jù)數(shù)據(jù)鏈路層防火墻分類(lèi)—代理防火墻發(fā)送連接請(qǐng)求外網(wǎng)終端代理防火墻內(nèi)網(wǎng)Server向Server發(fā)送報(bào)文A’對(duì)請(qǐng)求進(jìn)行安全檢查，不通過(guò)則阻斷連接通過(guò)檢查后與Server建立連接通過(guò)檢查后與Client建立連接向防火墻發(fā)送報(bào)文A向防火墻發(fā)送回應(yīng)報(bào)文B向終端發(fā)送回應(yīng)報(bào)文B’1.處理速度慢2.升級(jí)困難防火墻分類(lèi)—狀態(tài)檢測(cè)防火墻HostServer安全策略檢查記錄會(huì)話信息狀態(tài)錯(cuò)誤，丟棄1.處理后續(xù)包速度快2.安全性高TCPSYNTCPACKTCPSYN`TCPSYNTCPSYN`防火墻分類(lèi)—狀態(tài)檢測(cè)防火墻HostServer安全策略檢查記錄會(huì)話信息狀態(tài)錯(cuò)誤，丟棄1.處理后續(xù)包速度快2.安全性高TCPSYNTCPACKTCPSYN`TCPSYNTCPSYN`防火墻硬件平臺(tái)分類(lèi)IntelX86適用于百兆網(wǎng)絡(luò)，受CPU處理能力和PCI總線速度的限制NP網(wǎng)絡(luò)處理器是專(zhuān)門(mén)為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，是X86與ASIC之間的折衷方案防火墻硬件平臺(tái)多核新一代的硬件平臺(tái)。多核方案，更高的集成度、更高效的核間通信和管理機(jī)制。ASIC硬件集成電路，它把指令或計(jì)算邏輯固化到硬件中，獲得高處理能力，提升防火墻性能防火墻硬件平臺(tái)分類(lèi)IntelX86適用于百兆網(wǎng)絡(luò)，受CPU處理能力和PCI總線速度的限制NP網(wǎng)絡(luò)處理器是專(zhuān)門(mén)為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，是X86與ASIC之間的折衷方案防火墻硬件平臺(tái)多核新一代的硬件平臺(tái)。多核方案，更高的集成度、更高效的核間通信和管理機(jī)制。ASIC硬件集成電路，它把指令或計(jì)算邏輯固化到硬件中，獲得高處理能力，提升防火墻性能防火墻組網(wǎng)方式——二層以太網(wǎng)接口組網(wǎng)特點(diǎn)對(duì)網(wǎng)絡(luò)拓?fù)渫该鞑恍枰慕M網(wǎng)InternetTrustUntrust/30/30防火墻組網(wǎng)方式——三層以太網(wǎng)接口組網(wǎng)特點(diǎn)支持更多安全特性對(duì)網(wǎng)絡(luò)拓?fù)溆兴绊慖nternetUntrustTrust/30/3029/3033/30安全區(qū)域（SecurityZone），或者簡(jiǎn)稱(chēng)為區(qū)域（Zone）。Zone是本地邏輯安全區(qū)域的概念。Zone是一個(gè)或多個(gè)接口所連接的網(wǎng)絡(luò)。什么是安全區(qū)域？InternetDMZ區(qū)域Trust區(qū)域Untrust區(qū)域防火墻安全區(qū)域分類(lèi)缺省安全區(qū)域非受信區(qū)域Untrust非軍事化區(qū)域DMZ

受信區(qū)域Trust

本地區(qū)域Local用戶(hù)自定義安全區(qū)域UserZone1UserZone2企業(yè)內(nèi)網(wǎng)財(cái)務(wù)服務(wù)器ERP數(shù)據(jù)服務(wù)器OA服務(wù)器用戶(hù)終端ISPBISPA郵件服務(wù)器Web服務(wù)器UntrustDMZTrustTrustLocal區(qū)域呢？防火墻安全區(qū)域與接口關(guān)系安全區(qū)域與接口關(guān)系防火墻是否存在兩個(gè)具有完全相同安全級(jí)別的安全區(qū)域？防火墻是否允許同一物理接口分屬于兩個(gè)不同的安全區(qū)域？防火墻的不同接口是否可以屬于同一個(gè)安全區(qū)域？InternetG0/0/2DMZ區(qū)域G0/0/3Untrust區(qū)域G0/0/0Trust區(qū)域G0/0/1Trust區(qū)域防火墻安全區(qū)域的方向Inbound與Outbound定義什么是Inbound?什么是Outbound？高安全級(jí)別低安全級(jí)別企業(yè)內(nèi)網(wǎng)Untrust區(qū)域InternetTrust區(qū)域OutboundInbound目錄防火墻概述防火墻功能特性防火墻設(shè)備管理防火墻基本配置防火墻多業(yè)務(wù)功能WLAN/WWAN交換統(tǒng)一管理UTM安全路由SNMPv2v3RMONTR069Telnet/SSL/HTTP(s)FTP/TFTPSYSLOG靜態(tài)路由策略路由RIPv2OSPFv2BGPv4FE,GEVLANTrunk,802.1adACLNATVPN:L2TP/GRE/IPSec/SSL/MPLSP2P/IMAVIPS反垃圾郵件URL過(guò)濾WiFi802.11bgPPPPPPoEADSL2+HDLC3GUTM防火墻主要功能—訪問(wèn)控制主機(jī)A服務(wù)器數(shù)據(jù)載荷IPTCPMAC識(shí)別報(bào)頭標(biāo)識(shí)，給出執(zhí)行措施訪問(wèn)控制操作策略訪問(wèn)控制防火墻基本功能—深度檢測(cè)技術(shù)基于特征字的識(shí)別技術(shù)基于應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)基于行為模式識(shí)別技術(shù)SACG聯(lián)動(dòng)技術(shù)VPN訪問(wèn)分支機(jī)構(gòu)SRSSPSSACG防病毒服務(wù)器域管理服務(wù)器安全管理員補(bǔ)丁服務(wù)器AgentAgentAgentAgent安全審計(jì)員認(rèn)證前域Agent認(rèn)證后域SMSCUCL：帳號(hào)ACLAgent：客戶(hù)端代理SACG：安全接入控制網(wǎng)關(guān)SM:管理服務(wù)器SC:控制服務(wù)器雙機(jī)熱備技術(shù)提供冗余備份功能統(tǒng)一設(shè)備上所有接口的主備狀態(tài)同步防火墻之間會(huì)話信息即配置信息備防火墻TRUST域UNTRUST域PC服務(wù)器主防火墻內(nèi)部網(wǎng)絡(luò)/24外部網(wǎng)絡(luò)/24IPLink技術(shù)IP-Link自動(dòng)偵測(cè)的偵測(cè)結(jié)果可以被其他特性所引用，主要應(yīng)用包括：應(yīng)用在靜態(tài)路由中應(yīng)用在雙機(jī)熱備份中運(yùn)營(yíng)商AX運(yùn)營(yíng)商B接收?qǐng)?bào)文分類(lèi)與標(biāo)記擁塞監(jiān)管擁塞管理帶寬保證端到端的流量控制

提供業(yè)務(wù)質(zhì)量保障 提高客戶(hù)服務(wù)滿意程度保證資源利用最大化，全面提升服務(wù)質(zhì)量QoS技術(shù)企業(yè)內(nèi)網(wǎng)企業(yè)內(nèi)網(wǎng)用戶(hù)外部網(wǎng)絡(luò)日志服務(wù)器防火墻日志審計(jì)配合eLog日志軟件，可以為用戶(hù)提供清晰網(wǎng)絡(luò)日志和訪問(wèn)記錄?？墒占W(wǎng)絡(luò)中所有通過(guò)該設(shè)備的日志通過(guò)二進(jìn)志日志格式實(shí)現(xiàn)高速日志流傳輸攻擊防范網(wǎng)絡(luò)攻擊主要分為四大類(lèi)：流量型攻擊掃描窺探攻擊畸形報(bào)文攻擊特殊報(bào)文攻擊Packets受害主機(jī)Attacker防火墻報(bào)文統(tǒng)計(jì)報(bào)文統(tǒng)計(jì)對(duì)于防火墻來(lái)說(shuō)，不僅要對(duì)數(shù)據(jù)流量進(jìn)行監(jiān)控，還要對(duì)內(nèi)外部網(wǎng)絡(luò)之間的連接發(fā)起情況進(jìn)行檢測(cè)，因此要進(jìn)行大量的統(tǒng)計(jì)、計(jì)算與分析。防火墻對(duì)報(bào)文統(tǒng)計(jì)結(jié)果的分析有如下兩個(gè)方面：專(zhuān)門(mén)的分析軟件事后分析日志信息。防火墻實(shí)時(shí)完成一部分分析功能。防火墻黑名單黑名單黑名單是一個(gè)IP地址列表。防火墻將檢查報(bào)文源地址，如果命中,丟棄所有報(bào)文快速有效地屏蔽特定IP地址的用戶(hù)。創(chuàng)建黑名單表項(xiàng)，有如下兩種方式：通過(guò)命令行手工創(chuàng)建。通過(guò)防火墻攻擊防范模塊或IDS模塊動(dòng)態(tài)創(chuàng)建。來(lái)自的報(bào)文查找黑名單丟棄負(fù)載均衡負(fù)載均衡。將訪問(wèn)同一個(gè)IP地址的用戶(hù)流量分配到不同的服務(wù)器上。負(fù)載均衡采用以下技術(shù)，將用戶(hù)流量分配到多臺(tái)服務(wù)器：虛服務(wù)技術(shù)服務(wù)器健康性檢測(cè)基于流的轉(zhuǎn)發(fā)即通過(guò)指定算法，將數(shù)據(jù)流發(fā)送到各個(gè)真實(shí)服務(wù)器進(jìn)行處理。應(yīng)用控制DPI（DeepPacketInspection），即深度報(bào)文檢測(cè)技術(shù)。使用DPI知識(shí)庫(kù)中的規(guī)則，對(duì)P2P、VoIP、Video等多種應(yīng)用數(shù)據(jù)，可以對(duì)識(shí)別的網(wǎng)絡(luò)流量進(jìn)行允許通過(guò)、阻斷、限制連接數(shù)和限速等控制動(dòng)作。帶寬管理P2PUploadP2PDownloadVoIPWebTVVideoConferencingftpemail

Visiblepipe防火墻性能指標(biāo)—吞吐量吞吐量：防火墻能同時(shí)處理的最大數(shù)據(jù)量有效吞吐量：除掉TCP因?yàn)閬G包和超時(shí)重發(fā)的數(shù)據(jù),實(shí)際的每秒傳輸有效速率防火墻性能指標(biāo)—時(shí)延定義：數(shù)據(jù)包的第一個(gè)比特進(jìn)入防火墻到最后一個(gè)比特輸出防火墻的時(shí)間間隔指標(biāo)，是用于測(cè)量防火墻處理數(shù)據(jù)的速度理想的情況時(shí)間間隔Smartbits6000B第一個(gè)比特進(jìn)入最后一個(gè)比特輸出防火墻性能指標(biāo)—每秒新建連接數(shù)定義：指每秒鐘可以通過(guò)防火墻建立起來(lái)的完整TCP連接該指標(biāo)是用來(lái)衡量防火墻數(shù)據(jù)流的實(shí)時(shí)處理能力防火墻性能指標(biāo)—并發(fā)連接數(shù)定義：由于防火墻是針對(duì)連接進(jìn)行處理報(bào)文的，并發(fā)連接數(shù)目是指的防火墻可以同時(shí)容納的最大的連接數(shù)目，一個(gè)連接就是一個(gè)TCP/UDP的訪問(wèn)。該參數(shù)是用來(lái)衡量主機(jī)和服務(wù)器間能同時(shí)建立的最大連接數(shù)并發(fā)連接并發(fā)連接目錄防火墻概述防火墻功能特性防火墻設(shè)備管理防火墻基本配置防火墻設(shè)備管理概述設(shè)備登錄管理Console登錄Web登錄telnet登錄SSH登錄設(shè)備文件管理配置文件管理系統(tǒng)文件管理（軟件升級(jí)）License管理設(shè)備登錄管理設(shè)備登錄管理組網(wǎng)-Console設(shè)備登錄管理組網(wǎng)-Web/SSH/Telnet直接相連（通過(guò)局域網(wǎng)）遠(yuǎn)程連接（通過(guò)廣域網(wǎng)）通過(guò)Console口登錄設(shè)備USG配置口登錄的缺省用戶(hù)名為admin，缺省用戶(hù)密碼為Admin@123。其中，用戶(hù)名不區(qū)分大小寫(xiě)，密碼要區(qū)分大小寫(xiě)。通過(guò)Web方式登錄設(shè)備設(shè)備缺省可以通過(guò)GigabitEthernet0/0/0接口來(lái)登錄Web界面。將管理員PC的網(wǎng)絡(luò)連接的IP地址獲取方式設(shè)置為“自動(dòng)獲取IP地址”。將PC的以太網(wǎng)口與設(shè)備的缺省管理接口直接相連，或者通過(guò)交換機(jī)中轉(zhuǎn)相連。在PC的瀏覽器中訪問(wèn)，進(jìn)入Web界面的登錄頁(yè)面。缺省用戶(hù)名為admin，密碼為Admin@123Web登錄配置管理配置USG的IP地址。(略）配置USG接口Web設(shè)備管理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managehttppermit啟動(dòng)Web管理功能。[USG]web-managersecurityenableport2000配置Web用戶(hù)。[USG]aaa[USG-aaa]local-userwebuserpasswordcipherAdmin@123[USG-aaa]local-userwebuserservice-typeweb[USG-aaa]local-userwebuserlevel3Web登錄配置管理配置Web管理員，并啟動(dòng)Web管理功能，根據(jù)客戶(hù)需求啟動(dòng)HTTP或者HTTPS管理，以及設(shè)置端口號(hào)。

新建管理員和管理員級(jí)別。Note：不需要設(shè)置Web，F(xiàn)TP，Telnet等類(lèi)別。默認(rèn)支持所有用戶(hù)類(lèi)別。通過(guò)Telnet方式登錄設(shè)備設(shè)備缺省可以通過(guò)GigabitEthernet0/0/0接口來(lái)實(shí)現(xiàn)Telnet登錄。將管理員PC的網(wǎng)絡(luò)連接的IP地址獲取方式設(shè)置為“自動(dòng)獲取IP地址”。通過(guò)Puttytelnet，進(jìn)入登錄頁(yè)面。缺省用戶(hù)名為admin，密碼為Admin@123Telnet登錄配置管理配置USG接口telnet設(shè)備管理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managetelnetpermit配置vty

interface。[USG]user-interfacevty04[USG-ui-vty0-4]authentication-modeaaa[USG-ui-vty0-4]protocolinboundtelnet配置Telnet用戶(hù)信息。[USG]aaa[USG-aaa]local-useruser1passwordcipherpassword@123[USG-aaa]local-useruser1service-typetelnet[USG-aaa]local-useruser1level3Telnet登錄配置管理配置Telnet管理員新建管理員和管理員級(jí)別。Note：不需要設(shè)置Web，F(xiàn)TP，Telnet等類(lèi)別。默認(rèn)支持所有用戶(hù)類(lèi)別。配置USG的接口IP地址。(略）配置USG接口telnet設(shè)備管理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managetelnetpermit配置RSA本地密鑰對(duì)。<USG>system-view[USG]rsalocal-key-paircreateItwilltakeafewminutes.Inputthebitsinthemodulus[default=512]:512Generatingkeys.....++++++++++++...............................配置VTY用戶(hù)界面。[USG]user-interfacevty04[USG-ui-vty0-4]authentication-modeaaa[USG-ui-vty0-4]protocolinboundssh通過(guò)SSH方式登錄設(shè)備(1)通過(guò)SSH方式登錄設(shè)備(2)新建用戶(hù)名為Client001的SSH用戶(hù)，且認(rèn)證方式為password。[USG]sshuserclient001[USG]sshuserclient001authentication-typepassword為SSH用戶(hù)Client001配置密碼為Admin@123。[USG]aaa[USG-aaa]local-userclient001passwordcipherAdmin@123[USG-aaa]local-userclient001service-typessh配置SSH用戶(hù)Client001的服務(wù)方式為STelnet，并啟用STelnet服務(wù)。[USG]sshuserclient001service-typestelnet[USG]stelnetserverenable以上配置完成后，運(yùn)行支持SSH的客戶(hù)端軟件，建立SSH連接。配置文件管理配置文件類(lèi)型saved-configurationcurrent-configuration配置文件操作保存配置文件擦除配置文件（恢復(fù)出廠配置）配置下次啟動(dòng)時(shí)的系統(tǒng)軟件和配置文件重啟設(shè)備配置文件管理配置文件類(lèi)型saved-configurationcurrent-configuration配置文件操作保存配置文件擦除配置文件（恢復(fù)出廠配置）配置下次啟動(dòng)時(shí)的系統(tǒng)軟件和配置文件重啟設(shè)備版本升級(jí)(命令行)使用TFTP下載文件執(zhí)行命令tftptftp-server-addressorhostnamegetsource-filename[destination-filename]使用FTP下載文件執(zhí)行命令ftpip-address[port-number][vpn-instancevpn-instance-name]，與FTP服務(wù)器建立控制連接，并進(jìn)入FTP客戶(hù)端視圖。注：以上兩種下載文件的方式二選一即可配置系統(tǒng)下次啟動(dòng)時(shí)使用的系統(tǒng)軟件執(zhí)行startupsystem-softwaresys-filename。版本升級(jí)（Web）說(shuō)明：如果在升級(jí)過(guò)程中空然斷電，那么系統(tǒng)將無(wú)法啟動(dòng)一鍵式升級(jí)License配置License是設(shè)備供應(yīng)商對(duì)產(chǎn)品特性的使用范圍、期限等進(jìn)行授權(quán)的一種合約形式，License可以動(dòng)態(tài)控制產(chǎn)品的某些特性是否可用。激活License執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令licensefile

license-file，激活指定的License文件?？梢酝ㄟ^(guò)命令displaylicense，查看License的信息。點(diǎn)擊此處，上傳將要激活的License文件目錄防火墻概述防火墻功能特性防火墻設(shè)備管理防火墻基本配置VRP命令行級(jí)別參觀級(jí) 網(wǎng)絡(luò)診斷工具命令（ping、tracert）、從本設(shè)備出發(fā)訪問(wèn)外部設(shè)備的命令（包括：Telnet客戶(hù)端、SSH、Rlogin）等，該級(jí)別命令不允許進(jìn)行配置文件保存的操作。監(jiān)控級(jí) 用于系統(tǒng)維護(hù)、業(yè)務(wù)故障診斷等，包括display、debugging命令，該級(jí)別命令不允許進(jìn)行配置文件保存的操作。配置級(jí) 業(yè)務(wù)配置命令，包括路由、各個(gè)網(wǎng)絡(luò)層次的命令，這些用于向用戶(hù)提供直接網(wǎng)絡(luò)服務(wù)。管理級(jí) 關(guān)系到系統(tǒng)基本運(yùn)行，系統(tǒng)支撐模塊的命令，這些命令對(duì)業(yè)務(wù)提供支撐作用VRP命令視圖系統(tǒng)將命令行接口劃分為若干個(gè)命令視圖，系統(tǒng)的所有命令都注冊(cè)在某個(gè)（或某些）命令視圖下，只有在相應(yīng)的視圖下才能執(zhí)行該視圖下的命令。命令視圖的分類(lèi)：用戶(hù)視圖

<USG>系統(tǒng)視圖[USG]接口視圖[USG-Ethernet0/0/1]協(xié)議視圖[USG-rip]……VRP在線幫助鍵入一命令，后接以空格分隔的“?”，如果該位置為關(guān)鍵字，則列出全部關(guān)鍵字及其簡(jiǎn)單描述。 <USG5000>display?鍵入一命令，后接以空格分隔的“?”，如果該位置為參數(shù)，則列出有關(guān)的參數(shù)描述。 [USG5000]interfaceethernet? <3-3>Slotnumber鍵入一字符串，其后緊接“?”，列出以該字符串開(kāi)頭的所有命令。 <USG5000>d? debuggingdeletedirdisplayVRP在線幫助（續(xù)）輸入命令的某個(gè)關(guān)鍵字的前幾個(gè)字母，按下<TAB>鍵，可以顯示出完整的關(guān)鍵字暫停顯示時(shí)鍵入<Ctrl+C>停止顯示和命令執(zhí)行暫停顯示時(shí)鍵入空格鍵繼續(xù)顯示下一屏信息暫停顯示時(shí)鍵入回車(chē)鍵繼續(xù)顯示下一行信息防火墻基本配置流程開(kāi)始以太網(wǎng)接口模式接口IP地址接口加入域自定義安全區(qū)域默認(rèn)安全區(qū)域配置默認(rèn)包過(guò)濾規(guī)則配置路由（三層接口）配置設(shè)備管理數(shù)據(jù)包轉(zhuǎn)發(fā)二層接口模式三層接口模式配置接口模式步驟1進(jìn)入系統(tǒng)視圖。<USG>system-view步驟2進(jìn)入接口視圖[USG]interfaceinterface-typeinterface-number步驟3配置三層以太網(wǎng)接口或者二層以太網(wǎng)接口配置三層以太網(wǎng)接口ipaddressip-address{mask|mask-length}，?；蚺渲枚右蕴W(wǎng)接口portswitch步驟1

執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2執(zhí)行命令firewallzone[vpn-instance

vpn-instance-name][name]zone-name，創(chuàng)建安全區(qū)域，并進(jìn)入相應(yīng)安全區(qū)域視圖。步驟3執(zhí)行命令setprioritysecurity-priority，配置安全區(qū)域的安全級(jí)別。配置安全區(qū)域安全區(qū)域已經(jīng)存在不必配置關(guān)鍵字name，直接進(jìn)入安全區(qū)域視圖安全區(qū)域不存在需要配置關(guān)鍵字name，進(jìn)入安全區(qū)域視圖將接口加入安全區(qū)域步驟1

執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2

執(zhí)行命令firewallzone[vpn-instance

vpn-instance-name][name]zone-name，創(chuàng)建安全區(qū)域，并進(jìn)入相應(yīng)安全區(qū)域視圖。步驟3執(zhí)行命令addinterface

interface-typeinterface-number，配置接口加入安全區(qū)域。配置域間缺省包過(guò)濾規(guī)則步驟1執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2執(zhí)行命令firewallpacket-filterdefault{permit|deny}{{all|interzonezone1zone2}[direction{inbound|outbound}]}，配置域間缺省包過(guò)濾規(guī)則。zone1與zone2有先后順序嗎？？？沒(méi)有先后順序。因?yàn)镮nbound和Outbound的方向只與域的優(yōu)先級(jí)有關(guān)配置路由配置靜態(tài)路由，需要進(jìn)行如下操作。步驟1

執(zhí)行命令s