#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/1/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/1/6
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/1/3
#
firewall zone name HA id 4
set priority 99
add interface Eth-Trunk0
#
firewall zone name biz id 5
set priority 70
add interface GigabitEthernet1/1/9
#
昨天諮詢了華爲usg9520防火牆客服。華爲火牆沒有各個區域都是默認拒絕的,
沒有所謂的從高優先級到低優先級的默認放開的準則,策略是有哪個方向就開哪個方向。
譬如從ip_A trust訪問 ip_B untrust的22端口。
從ip_C untrust訪問 ip_D trust的443端口。
那麼usg9520防火牆這兩條必須都寫上,沒有所謂的從安全區trust到untrust不需要寫的,必須也寫,不寫默認也是拒絕的。
這個優先級只在很老的防火牆有用,纔有那種高優先級到低優先級的默認放開的準則,而現在的華爲防火牆都沒有這個準則了。