security-zone intra-zone default permit
此命令的作用是,让同一个防火墙区域的不同接口之间能够互访。
如果没有配置这条命令,即使是同一个防火墙区域的接口之间也不能互访,需要配置域间策略放行相关的流量。
但几个接口是在同一个防火墙区域的,按理应该配置域内策略。实际上,在配置域间策略时,源区域和目的区域是相同的就是域内策略,比如配置一条untrust到untrust的对象策略。
当在同一个区域之间配置了域间对象策略时,这条命令将失效。也就是说,除了已经存在的对象策略,其它流量都无法通过。
对象策略的优先级最高。
疑问:同一防火墙区域下的接口,指的是物理接口吗?
包括物理口下的子接口吗?
包括冗余口(Reth)吗?
即子接口之间或者冗余口之间,如果既不配置上面的命令,也不配置域间策略(相同区域的域间策略),默认是放行的吗?

0 Comments

发表评论

电子邮件地址不会被公开。 必填项已用*标注