开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 系统运维 -> HCIA SEC--ip-link -> 正文阅读

[系统运维]HCIA SEC--ip-link

2022.2.8 Pretty things should be enjoyed--美玉不该蒙尘

1、接口配置IP 接口加入安全域

2、路由（策略路由/普通路由）

[FW]policy-based-route
[FW-policy-pbr]dis this
2022-02-08 11:48:45.540
#
policy-based-route
?rule name vpc1-r3
? source-zone trust
? source-address 192.168.1.0 mask 255.255.255.0
? track ip-link r3--关联ip-link
? action pbr next-hop 100.1.1.1
?rule name vpc2-r4
? source-zone dmz
? source-address 10.1.1.0 mask 255.255.255.0
? track ip-link r4--关联ip-link
? action pbr next-hop 200.1.1.1

3、NAT

[FW]nat-policy
[FW-policy-nat]dis this
2022-02-08 11:50:22.150
#
nat-policy
?rule name permit-interint
? source-zone dmz
? source-zone trust
? destination-zone untrust
? source-address 10.1.1.0 mask 255.255.255.0
? source-address 192.168.1.0 mask 255.255.255.0
? action source-nat easy-ip

4、策略

[FW]security-policy
[FW-policy-security]dis this
2022-02-08 11:51:33.100
#
security-policy
?rule name permit-interint
? source-zone dmz
? source-zone trust
? destination-zone untrust
? source-address 10.1.1.0 mask 255.255.255.0
? source-address 192.168.1.0 mask 255.255.255.0
? action permit

IP-LINK?
[FW]ip-link check enable
[FW]ip-link name r3
[FW-iplink-r3]destination 100.1.1.1

兜底路由调用IP-LINK

[FW]ip route-static 0.0.0.0 0.0.0.0 100.1.1.1 track ip-link r3

总结

华为防火墙：
所有抵达USG防火墙自身的管理流量（Ping、Telnet、SSH、SNMP、HTTP、HTTPS、Netconf）不受安全策略的控制，如果需要放行，需要在接口下放行。
[FW-GigabitEthernet0/0/0]service-manage ping permit
[FW-GigabitEthernet0/0/0]service-manage ping deny

策略路由不能基于目的端口和目的安全域匹配流量，控制数据走向。

策略路由?? 优于?? 普通路由表