华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置出口网络安全
背景信息
在园区边界上,一般使用防火墙作为安全设备,确保网络边界防护。防火墙上会定义安全区域(Security Zone),简称为区域(Zone),是一个或多个接口所连网络的集合,这些网络中的用户具有相同的安全属性。大部分的安全策略都基于安全区域实施。通过安全区域,防火墙上划分出了等级森严、关系明确的网络,防火墙成为连接各个网络的节点。防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查,并实施相应的安全策略。
通常情况下,在网络数量较少、环境简单的场合中,可划分为三个安全区域,分别是Trust、DMZ和Untrust:
- Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
- DMZ区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
- Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。
如表5-29所示,给出的常见区域的安全策略设计建议。
操作步骤
- 选择“策略 > 安全策略 > 安全策略”。在“安全策略列表”中,单击“新建安全策略”,配置安全策略。
