域间的数据流方向.docVIP

域间的数据流方向 域间安全策略： 域间安全策略控制域间数据流动，根据适用场景分为两类： 1.转发策略：控制设备转发的流量，包括传统的包过滤和应用层的UTM检测。 2.本地策略：控制外界与设备的互访，只根据五元组进行控制。 域间安全策略示意图 安全策略的组成 域间安全策略，用来控制域间的流量转发。设备收到报文后首先提取报文的IP头信息，包括源/目的IP地址、协议、报文优先级等，然后与域间安全策略的匹配条件进行比较。如果所有匹配条件都满足，就根据策略的控制动作（Permit/Deny）及应用的UTM策略对报文进行安全检查，最终决定对报文的处理。每个域间的Inbound和Outbound方向上可以应用多条安全策略。 安全策略逻辑关系图每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。 匹配条件： 安全策略可以指定多种匹配条件，报文必须同时满足所有条件才会匹配上策略。 对于同一种匹配条件，可以指定多个具体的值，比如可以同时配置多个源IP地址，此时流量只要命中其中一个源IP地址就满足源IP地址这类匹配条件。 UTM策略： 安全策略中除了基本的包过滤功能，还可以引用IPS、AV、应用控制等UTM策略进行进一步的应用层检测。但前提是匹配到控制动作为permit的流量才能进行UTM处理，如果匹配到deny直接丢弃报文。