官网
官网
游客
注册
登录
场景化调试教程
AC200r&代播&TR069&GO-SIP调试教程
梦想网关(公用801)流量审计和应用信息分析(基本操作篇)
IT标准和规范
酒店全光网施工注意事项
高端酒店项目网络调试标准【V1.1版本】
智慧光迅 IT 标准规划文档【V1.1版本】
组网落地调试
智慧光迅 VOLT与秒开 TR069业务连接配置
AC100U&VOLT&TR069调试教程
FTTN&综合网关调试教程
展箱调试文档
VOLT搭配融合路由+猫实现PPPOE拨号认证+光猫管理
三剑客调试教程(融合路由版)
五侠士调试教程
FTTN&代播调试教程
VOLT搭配miktik-305-1G-4S+IN+猫实现PPPOE 拨号获取IP
梦想网关(公用801)场景落地-交换模式
梦想网关(公用801)场景落地-网桥模式-虚接口对
梦想网关(公用801)场景落地-网桥模式-多接口绑定
梦想网关(公用801)场景落地-路由模式下,单WAN接入(二层内网环境)
XG-VOLT 搭配融合路由PPPOE设置步骤
三剑客调试教程(梦想网关版-不带安全)
三剑客调试教程(梦想网关版-带安全防护)
五侠士调试教程(梦想网关版-不带安全防护)
五侠士调试教程(梦想网关版-带安全防护)
组网需求实现
梦想网关 光迅portal微信小程序认证部署【认证部署】
梦想网关 WIFI认证-光迅portal短信认证部署【认证部署】
梦想网关 实现实名认证+日志存储
梦想网关 入局拦截和出局做通(安全区域+安全策略)
梦想网关 外部访问控制(允许指定IP访问)
梦想网关 地域访问控制(允许指定国家访问)
梦想网关 安全防护-基础防护通用配置
融合路由 TR069的操作使用
融合路由 安审下单开通步骤(业务侧)
融合路由 使用VPN对接爱生活计费
融合路由 爱生活计费用户使用指南
融合路由 对接光迅portal平台(短信认证+小程序认证)
融合路由 对接旧potal认证-免认证
融合路由 对接旧potal认证-虚拟短信认证
融合路由 对接旧potal认证-白名单身份认证
XOS综合网关 对接晶讯面板
XOS综合网关 欢迎词的基础调试
XOS综合网关 新版本欢迎词字体样式调整
XOS综合网关 旧版本PMS欢迎词对接(变量参数)
XOS综合网关 新版本欢迎词参数变量(入住人信息对接)
融合路由 端口占用情况汇总
XOS综合网关 常用服务对应端口汇总
梦想网关 常用服务对应端口汇总
XOS综合网关+融合路由+梦想网关 常用服务对应端口汇总
产品功能实现(内部多产品联动)
新版XOS综合网关UI配置指导及UI情况汇总
私密投屏 私密投屏授权步骤
私密投屏 借助乐播客户端PC投屏操作步骤
对接功能实现(第三方对接联动)
综合网关对接小度直播换台流程
综合网关对接洗衣机
综合网关对接天猫精灵直播换台教程
综合网关对接迅时网关呼出外线配置
对接智慧光迅PMS接入文档
入住
取消订单
退房
预定取消或入住取消
挂账退房
问询
应到未到
信息修改/换房
推送入住信息(旧)
话单推送
电话闹钟设置
电话账单查询
本文档发布于深圳智慧光迅信息技术有限公司文档系统
-
+
首页
组网需求实现
梦想网关 入局拦截和出局做通(安全区域+安全策略)
梦想网关 入局拦截和出局做通(安全区域+安全策略)
梦想网关 入局拦截和出局做通(安全区域+安全策略) 操作背景:客户向要内网设备可以主动访问到外网,同时,确保外网设备无法主动访问到内网(比如:通过端口映射,路由指向,甚至直连,均无法主动访问到内网)那么此时应当如何操作?我们可以使用安全区域+安全策略来实现 (1)入局数据拦截 梦想网关中定义有安全区域的功能,通过对应的接口配置对应的安全区域(比如:内网接口配置trust区域,外网接口配置untrust区域),通过不同安全区域隔离的特性,实现入局数据不可访问内网设备的需求 ——>第一部分:入局数据拦截 - 安全区域实现(安全区域的基本概念) (2)出局数据放行 内外网接口分别勾选到不同的区域后,此时,内网无法访问外网,外网也无法访问内网,那么,怎么样可以定向地放行内网主动到外网的数据呢,我们可以配置安全策略,定向做通由内网trust区域访问到外网untrust区域的数据了 ——>第二部分:出局数据做通 - 安全策略实现安全区域的单向做通(安全策略实现) 第一部分:入局数据拦截 - 安全区域实现(安全区域的基本概念) 1、安全区域的基本概念 梦想网关(ZH-M1型号)设备除了可以作为一台交换机、路由器使用,还可以作为一台防火墙使用,作为一台防火墙,势必会引入区域的概念 (1)trust区域(信任区域):针对内网部分,咱们往往认为这个部分是安全的(内网怎么样,知根知底),对于内网是否有病毒等不安全的因素上,咱们是信任的(认为这块区域是安全的),因此,咱们定义该区域为信任区域 (2)untrust区域(非信任区域):针对外网部分,咱们往往认为这个部分是不安全的(外网怎么样,无法把控),对于外网是否有病毒等不安全因素上,咱们是不信任的(认为这块区域是不安全的),因此,咱们定义该区域为非信任区域 在梦想网关中,不同的安全区域之间数据不通,不同安全区域之间相互隔离 2、梦想网关中的安全区域 在咱们的M1设备上面,默认的常见安全区域有:local区域,二层信任区域,二层非信任区域,三层信任区域,三层非信任区域和非军事化区域,这些安全区域是默认就有的,不需要手动创建,各安全区域咱们可以在设备中的“安全区域”菜单中查看到这些安全区域,如下图所示:  注意:M1设备将信任区域和非信任区域做了进一步的划分,针对端口是二层口(只做交换)还是三层口(做路由和转发) 信任区域分为了二层信任区域和三层信任区域;非信任区域分为了二层非信任区域和三层非信任区域 3、M1设备 默认区域和对应的规则-区域内部的通信属性 (1)二层信任区域(L2 trust):接口做二层转发,允许同区域下接口互访 (2)二层非信任区域(L2 untrust):接口做二层转发,不允许区域下接口互访 (3)三层信任区域(trust):接口做三层转发,允许区域下接口互访 (4)三层非信任区域(untrust):接口做三层转发,不允许区域下接口互访 3、给接口配置安全区域(落地配置) 第一步:检查默认的安全区域(是否在,是否有被改动,需要修改)  第二步:配置接口,并将接口配置到对应的安全区域中   第二部分:出局数据做通 - 安全策略实现安全区域的单向做通(安全策略实现) 配置安全策略,实现不同安全区域之间的数据打通 (1)关于不同安全区域之间的数据打通 现有案例如下图所示,案例中,销售部门在trust区域,外部服务(比如百度)在untrust区域,已知网络环境已经配置了端口和NAT,可以实现互通,现增加安全区域,需要实现从trust-销售区域到untrust区域的数据流量打通,如下图所示: 此时,咱们可以配置添加安全策略,针对命中trust区域到untrust区域的数据流量放行  (2)实现不同安全区域之间的数据打通 注意,该文档中,网络环境已经配置了端口和NAT,可以实现互通。端口的配置和NAT的配置可以参考前面的文档 第一步,检查端口所在的安全区域绑定情况,将WAN口绑定到untrust区域,将LAN口绑定到trust区域(不对的话需要修改) 安全区域的绑定的具体操作配置,前面也有提到  第二步,配置新增安全策略 找到安全策略配置页面,点击添加   配置完成后,可以看到咱们创建的安全区域 
智慧光迅
2026年5月20日 13:13
30
0 条评论
转发
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
分享
链接
类型
密码
更新密码
有效期
Markdown文件
Word文件
PDF文档
PDF文档(打印)
