Zone-based policy 配置 配置步骤 定义class-map匹配流量类型 定义policy-map监控匹配流量,并定义监控动作,如: inspect;对未匹配流量做默认操作 创建安全区域 创建区域间的区域策略,并定义监控流向、策略 接口划入安全区域 配置 配置区域 private、In ternet、DMZ Private 可以访问 In ternet 和 DMZ In ternet 不能 pi ng 通 DMZ 和 Private In ternet可以访问 DMZ的http服务 谨以下图为例配置 Zon e-based policy: IP* 1、定义class-map匹配流量类型。 class-map type in spect match-a ny [Private-To-I ntern et] match protocol http match protocol ip match protocol ipv6 class-map type in spect match-a ny [Intern et-To-DMZ] match protocol http match protocol tcp 2、 定义 policy-map 监控匹配流量,并定义监控动作,如: inspect ;对未匹配流量做默认操 作。 policy-map type inspect 1 class type inspect Private-To-Internet inspect class type inspect class-default exit policy-map type inspect 2 class type inspect Internet-To-DMZ inspect class type inspect class-default exit 3、创建安全区域 zone security [PrivateZone] zone security [DMZZone] zone security [InternetZone] 4、 创建区域间的区域策略,并定义监控流向、策略 zone-pair security [Private-Internet] source [PrivateZone] destination [InternetZone] service-policy type inspect 1 zone-pair security [Priva