前面使用域间策略验证了设备的上线效果，这种配置方法是长期使用老版本设备命令行操作留下来的习惯 。现在版本更新很快，WEB页面功能更加完善，其中新版本主推的安全策略配置功能，操作也很方便 。
首先在命令行移除了域间策略部分配置：
需要注意的是，vFW默认没有开启HTTPS，需要在命令行开启，并为登录用户增加HTTPS登录权限，同时建议修改默认端口号 。
然后就可以使用进行登录了 。随后在WEB页面增加安全策略配置：

文章插图


文章插图
过程中发现ping报文有丢失，增加安全策略后恢复，说明域间策略和安全策略是可以共存生效的 。

文章插图
开启统计之后还可以看到命中策略的流量和会话信息 。

文章插图
点击会话查看能直接查看到命中该策略的会话信息 。

文章插图
TEST1：域间策略和安全策略的生效关系怎么样？1、已知没有域间策略或安全策略的情况下互访流量是被设备阻断的，并且安全策略或者安全策略任意一个配置放通，则互访流量可以通过；
2、由1可知，配置域间策略或安全策略其中一个放通即可实现互访，则同时配置两个策略互通流量肯定是放通的；
3、修改配置安全策略为放通、域间策略为阻断，发现流量是通的，并且测试安全策略先配置生效和后配置生效效果相同；
4、修改配置域间策略为放通、安全策略为阻断，发现流量是不通的，并且测试安全策略先配置生效和后配置生效效果相同 。
执行效果如下图：

文章插图
综上，说明安全策略的优先级高于域间策略，如果两者同时存在的话，会执行安全策略的配置 。
TEST2：域间策略匹配顺序是怎样的？验证操作需要将两台设备的安全域分开，新建两个安全域VM1和VM2，并将两个接口放到对应安全域下面 。

文章插图
1、已经明确的匹配顺序：精确的域间策略优先于模糊的或者默认的域间策略，所以先创建一条any到any的域间策略，动作放行，测试两端设备正常通信；
2、创建两条域间策略any-VM2以及VM1-any，分别应用两条ACL做包过滤，配置3001和3002，首先规则为空；
3、修改any-VM2域间策略为放通，发现网络不通；
4、修改VM1-any域间策略为放通，发现网络正常通信；
5、验证操作3和4的测试结果，在存在VM1-any的域间策略时，修改any-VM2的域间策略，不影响网络连通性 。
结论：域间策略匹配优先级顺序如下：
A→B ＞ A→any ＞ any→B ＞ any→any 。
测试过程中，通过debug aspf packet，可以看到报文阻断原因 。本例中，可以看出是被包过滤或者对象策略阻断，实际是包过滤阻断；源域是VM1，目的域是VM2，入接口是G2/0，出接口是G3/0，未匹配VPN实例；还可以看到简要的报文信息，为ICMP和TCP报文 。

文章插图
TEST3：安全策略匹配顺序是怎样的？已知的匹配顺序是按照显示顺序进行匹配的，测试添加一条any到any的放通规则，发现后面再添加3条精确的阻断策略，仍然可以互访 。

• 上一页
• 1
• 2
• 3
• 4
• 下一页

• seo优化学习怎么做，精通SEO优化的6个策略？
• 阿里策略中心，阿里策略中心的解决方案？
• 成品仓库安全注意事项有哪些 仓库安全十大注意事项
• 定价策略是什么意思，定价策略的研究和方法？
• 什么是商业策略，商业策略的增长研究报告？
• 在线教育网站推广，在线教育网站推广的营销策略？
• 没有安全感的句子
• 推广策略有哪些，推广策略有哪些如何精准获客？
• 爽肤水什么牌子好用又实惠，爽肤水哪个牌子最好用又安全？
• 品牌宣传推广策略怎么做？怎么提升品牌知名度？