请教:

在Ｖ５的防火墙中，高安全级别的区域可以主动访问低安全级别的区域，然后从低安全级别的回来的包自动放行，

而从低安全级别主动访问高安全级别的区域的话，就要使用策略放行才行。

那么，现在换到Ｖ７的防火墙中的话，是否现在已经没有安全级别的概念了？那么区域间的访问是如何定义的呢？

例如我定义了trust可以访问untrust（ＩＰ协议），那么从untrust回来的包是否可以自动放行回来？还是要再写一下untrust也可以访问trust?

如果这样子定义的话，岂不是让untrust可以主动访问trust？岂不是挺不安全的？？

求指教，谢谢。

(0)

最佳答案

防火墙是通过会话定义数据流，回报都是优先匹配会话，所以不需要写回来的策略。

(0)

但我使用ping（ＩＣＭＰ）时，不写回来就ping不通，这是为什么的呢？ 谢谢。

但我使用ping（ＩＣＭＰ）时，不写回来就ping不通，这是为什么的呢？

谢谢。

(0)

,Ｈ3Ｃ　Ｖ7防火墙的域间策略问题？？