防火墙阻止tftp_H3C防火墙常见问题汇总

ALG

的作用是什么



地址转换会导致许多对

NA

T

敏感的应用协议无法正常工作，必须针对该协议进行特殊

的处理。所谓对

NA

T

敏感的协议是指该协议的某些报文的有效载荷中携带

IP

地址和(或)

端口号，如果不进行特殊处理，将会严重影响后继的协议交互。



地址转换应用网关(

NAT Application Level Gateway

，

NAT ALG

)是解决特殊协议穿越

NA

T

的一种常用方式，该方法按照地址转换规则，对载荷中的

IP

地址和端口号进行替换，

从而实现对该协议的透明中继。

目前

VRP

的

NAT ALG

支持

PPTP

、

DNS

、

FTP

、

ILS

、

NBT

、

SIP

、

H.323

等协议。



在

SecPath

上，当开启

NA

T

功能后，系统会自动开启

NAT ALG

，无需手工设置。



防火墙的域(

zone

)是什么意思



区域(

zone

)是防火墙产品所引入的一个安全概念，是防火墙产品区别于的主要特征。

一个安全区域包括一个或多个接口的组合，

具有一个安全级别。

在设备内部，

安全级别通过

0

～

100

的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区域。

SecPath

缺省有

trust

、

untrust

、

DMZ

、

local 4

个安全域，同时还可以自定义

12

个区域。





[SecPath]firewall zone ?





DMZ DMZ security zone





local Local security zone





name Specify a new security zone name and create it





trust Trust security zone





untrust Untrust security zone





一般来讲，安全区域与各网络的关联遵循下面的原则：内部网络应安排在安全级别较

高的区域、外部网络应安排在安全级别最低的区域。具体来说，

Trust

所属接口用于连接用

户要保护的网络；

Untrust

所属接口连接外部网络；

DMZ

区所属接口连接用户向外部提供服

务的部分网络；

从防火墙设备本身发起的连接即是从

Local

区域发起的连接。

相应的所有对

防火墙设备本身的访问都属于向

Local

区域发起访问连接。





SecPath

防火墙中

inbound

和

outbound

的含义是什么呢





SecPath

防火墙的

ACL

规则和路由器一样，是应用在接口上的，

inbound

指从接口进入

防火墙的方向，

outbound

是从防火墙出接口的方向。这点是与

Eudemon

和

SecPath1800F

不

同的。

Eudemon

和

SecPath1800F

的

ACL

是应用在域间的，

inbound

是指从低安全级别的域

进入高安全级别域的流量，如从

untrust

进入

trust

，

outbound

的方向与此相反。