DHCP开启

weimin

DHCP开启








































DHCP地址池已经创建完成。租约为 1天。

创建完成之后，点击确定。






















虽说没有local到trust安全策略，但是电脑可以正常获取到IP地址
因为有一个trust-local策略，说明request请求服务可以到local，按理论来说，DHCP reply时应该安全策略从local-trust，由于local的优先级别100.

本地区域（Local）

最高安全级别的安全区域，安全级别为100。

Local区域定义的是设备本身，包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出，凡是需要设备响应并处理（而不仅是检测或直接转发）的报文均可认为是由Local区域接受。 用户不能改变Local区域本身的任何配置，包括向其中添加接口。 说明：由于Local区域的特殊性，在很多需要设备本身进行报文收发的应用中，需要开放对端所在安全区域与Local区域之间的安全策略。包括： 需要对设备本身进行管理的情况下。例如Telnet登录、Web登录、接入SNMP网管等。 设备本身作为某种服务的客户端或服务器，需要主动向对端发起请求或处理对端发起的请求的情况下。例如FTP，PPPoE拨号，NTP以及IPSec VPN等。 向安全区域中添加接口，只是认为该接口所连的网络属于该安全区域，而接口本身还是属于Local区域。 例如，一台设备通过接口1与Trust区域相连。如果一个属于Trust区域的用户希望在ping接口1时得到设备处理和回应，以验证网络连通性时，就需要开放Trust区域与Local区域之间的包过滤策略，否则这些ping报文将被设备丢弃。

防火墙用于网络之间的隔离，专业的讲用于保护一个安全区域免于另外一个安全区域的网络攻击和入侵行为。防火墙是基于安全区域的，一般厂商都是有这个概念的。安全区域（Security Zone），也称之为区域（Zone），是一个逻辑的概念。用于管理防火墙设备安全需求相同的多个接口。它是一个或者多个的接口集合，管理员需要对安全需求相同的接口进行分类。并划分到不同的安全域，以实现安全策略的统一管理。
安全级别（Security Level）在华为防火墙上，每一个安全区域都有一个唯一的级别设定。用1~100的数字表示，数字越大，说明该区域的网络越可信。对于默认的安全区域，它们的安全级别是固定的。
local：区域的安全级别是100
trust：区域的安全级别是85
DMZ：区域的安全级别是50
Untrust：区域的安全级别是5
华为防火墙默认定义了四个固定的安全区域
Trust：该区域的网络受信任程度高，通常用来定义内部用户所在的网络。
Untrust：该区域代表的是不受信任的网络，通常用来定义Internet。
DMZ：（Demilitarized非军事区）：该区域的网络受信任程度中等，通常用来定义内部服务器（如ERP,OA等）所在网络。
说明：DMZ这一术语起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。
Local：防火墙上提供了Local区域，代表防火墙本身。比如防火墙主动发起的报文（如防火墙上执行ping）以及抵达防火墙自身的报文（我们要网管防火墙http、https、ssh、telnet）
PS:默认的安全区域无需创建，也不能被删除，同时安全级别也不能重新分配。USG防火墙最多支持32个安全区域。
local区域中不能添加任何接口，但是防火墙上所有接口都隐含属于lacal区域。也就是说，报文通过接口去往某网站时，目标安全区域也就是该接口local安全区域；报文通过接口到达防火墙本身时。目标安全区域也就是该接口的Local安全区域。