企業(yè)網(wǎng)絡(luò)安全設(shè)計方案論文

1、 編號：ABS20160501企業(yè)網(wǎng)絡(luò)設(shè)計方案關(guān)鍵字：網(wǎng)絡(luò)，安全，VPN，防火墻 ，防病毒班 級：AY姓 名：AY 日 期：2016-05-19目 錄摘 要1第一章 企業(yè)網(wǎng)絡(luò)安全概述21.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患21.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)2第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析42.1 公司背景42.2 企業(yè)網(wǎng)絡(luò)安全需求42.3 需求分析42.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)5第三章 企業(yè)網(wǎng)絡(luò)安全解決實施63.1物理安全63.2企業(yè)網(wǎng)絡(luò)接入配置73.3網(wǎng)絡(luò)防火墻配置103.4配置驗證查看183.5網(wǎng)絡(luò)防病毒措施21總 結(jié)23摘 要近幾年來，Internet技術(shù)日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的

2、第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過渡。這些都促使了計算機網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計算機連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運行，利用網(wǎng)絡(luò)傳播病毒，線路竊聽等方面。因此本論文為企業(yè)構(gòu)架網(wǎng)絡(luò)安全體系，主要運用vlan劃分、防火墻技術(shù)、vp

3、n、病毒防護等技術(shù)，來實現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。第一章 企業(yè)網(wǎng)絡(luò)安全概述1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問，同時企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠遠大于外部網(wǎng)絡(luò)，因為內(nèi)部中實施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來源主要包括。1) 病毒、木馬和惡意軟件的入侵。2) 網(wǎng)絡(luò)黑客的攻擊。3) 重要文件或郵件的非法竊取、訪問與操作。4) 關(guān)鍵部門的非法訪問和敏感信息外泄。5) 外網(wǎng)的非法入侵。6) 備份數(shù)據(jù)和存儲媒體的損壞、丟失。針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡(luò)版病毒

4、防護系統(tǒng)，同時也要加強內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項安全措施，及時安裝系統(tǒng)安全補丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對內(nèi)、外網(wǎng)絡(luò)進行安全隔離；加強內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實行“最小權(quán)限”原則，為各個用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時對一些敏感數(shù)據(jù)進行加密保護，對數(shù)據(jù)還可以進行數(shù)字簽名措施；根據(jù)企業(yè)實際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認真執(zhí)行。1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)(一) 安裝防火墻就安全了防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供

5、網(wǎng)絡(luò)周邊的安全防護。但如果攻擊行為不經(jīng)過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。防火墻的原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡(luò)的訪問不進行任何阻撓，而事實上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。(二) 安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。(三) 在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺服務(wù)器上通過安全中心控制整個

6、網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡(luò)的病毒。同時對于整個網(wǎng)絡(luò)，管理非常方便，對于單機版是不可能做到的。(四) 只要不上網(wǎng)就不會中毒雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。(五) 文件設(shè)置只讀就可以避免感染病毒設(shè)置只讀只是調(diào)用系統(tǒng)的幾個命令，而病毒或黑客程序也可以做到這一點，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。(六) 網(wǎng)絡(luò)安全主要來自外部基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實施攻擊。所以，加

7、強內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權(quán)限等方面的管理非常必要了。第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析2.1 公司背景XX科技有限公司是一家有100名員工的中小型科技公司，主要以軟件應(yīng)用開發(fā)為主營項目的軟件企業(yè)。公司有一個局域網(wǎng)，約100臺計算機，服務(wù)器的操作系統(tǒng)是 Windows Server 2008,客戶機的操作系統(tǒng)是 Windows 7，在工作組的模式下一人一機辦公。公司對網(wǎng)絡(luò)的依賴性很強，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。2.2 企業(yè)網(wǎng)絡(luò)安全需求XX科技有限公司

8、根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機。企業(yè)分為財務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。同時由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：（1） 根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2） 保護網(wǎng)絡(luò)系統(tǒng)的可用性（3） 保護網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性（4） 防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5） 防范入侵者的惡意攻擊與破壞（6） 保護企業(yè)信息通過網(wǎng)上傳輸過程中的機密性、完整性（7） 防范病毒的侵害（8） 實現(xiàn)網(wǎng)絡(luò)的安全管理。2.3 需求分析通過了解XX科技有限公司的需求與現(xiàn)狀，為實現(xiàn)XX科技

9、有限公司的網(wǎng)絡(luò)安全建設(shè)實施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設(shè)計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進行全面的監(jiān)控和管理。因此需要（1） 構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2） 劃分VLAN控制內(nèi)網(wǎng)安全（3） 安裝防火墻體系（4） 建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（5） 安裝防病毒服務(wù)器（6） 加

10、強企業(yè)對網(wǎng)絡(luò)資源的管理2.4 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)拓撲圖，如下圖所示:總部網(wǎng)絡(luò)情況：防火墻FW1作為出口NAT設(shè)備，從網(wǎng)絡(luò)運營商處獲得接入固定IP為/30，網(wǎng)關(guān)IP為/30，經(jīng)由防火墻分為DMZ區(qū)域和trust區(qū)域。防火墻上FW1做NAT轉(zhuǎn)換。分配給trust區(qū)域的地址為 /24,通過FW1上GE0/0/0端口連接網(wǎng)絡(luò)，接口地址為/24。DMZ內(nèi)主要有各類的服務(wù)器，地址分配為 /24。通過FW1上GE0/0/1端口連接網(wǎng)絡(luò)，接口地址為 /24。建立IPSec隧道，使總部和分支可以互訪。分部網(wǎng)絡(luò)情

11、況：防火墻FW2作為出口NAT設(shè)備，從網(wǎng)絡(luò)運營商處獲得接入固定IP為/30，網(wǎng)關(guān)IP為/30。通過FW1上GE0/0/1端口連接內(nèi)部網(wǎng)絡(luò)，接口地址為/24。建立IPSec隧道，使分部和總部可以互訪。第三章 企業(yè)網(wǎng)絡(luò)安全解決實施3.1物理安全企業(yè)網(wǎng)絡(luò)中保護網(wǎng)絡(luò)設(shè)備的物理安全是其整個計算機網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計算機犯罪行為導(dǎo)致的破壞。針對網(wǎng)絡(luò)的物理安全主要考慮的問題是環(huán)境、場地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計劃等。物理安全在整個計算機網(wǎng)絡(luò)信

12、息系統(tǒng)安全中占有重要地位。它主要包括以下幾個方面：1) 保證機房環(huán)境安全信息系統(tǒng)中的計算機硬件、網(wǎng)絡(luò)設(shè)施以及運行環(huán)境是信息系統(tǒng)運行的最基本的環(huán)境。要從一下三個方面考慮：a.自然災(zāi)害、物理損壞和設(shè)備故障 b.電磁輻射、乘機而入、痕跡泄漏等 c.操作失誤、意外疏漏等2) 選用合適的傳輸介質(zhì)屏蔽式雙絞線的抗干擾能力更強，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強抗干擾能力。光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁

13、的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3) 保證供電安全可靠計算機和網(wǎng)絡(luò)主干設(shè)備對交流電源的質(zhì)量要求十分嚴(yán)格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機房的供配電系統(tǒng)設(shè)計既要滿足設(shè)備自身運轉(zhuǎn)的要求，又要滿足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運行的可靠性，保證設(shè)備的設(shè)計壽命保證信息安全保證機房人員的工作環(huán)境。3.2企業(yè)網(wǎng)絡(luò)接入配置VLAN技術(shù)能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以

14、部署網(wǎng)絡(luò)中按部門進行了VLAN劃分，劃分為以下兩個VLAN：業(yè)務(wù)部門 VLAN 10 交換機SW1接入核心交換機財務(wù)部門 VLAN 20 交換機SW2接入核心交換機核心交換機 VLAN間路由 核心交換機HSW1核心交換機HSW1配置步驟:1) 建立VLAN 10 20 1002) GE0/0/1加入vlan10, GE0/0/2加入vlan30, GE0/0/24加入vlan1003) 建立SVI并配置相應(yīng)IP地址:Vlanif10:/24Vlanif20:/24 Vlanif100:/24 4) 配置RIP路由協(xié)議：Network

15、Network Network 5) 配置ACL拒絕其它部門對財務(wù)部訪問，outboundGE0/0/2。詳細配置：#sysname HSW1#info-center source DS channel 0 log state off trap state off#vlan batch 10 20 100#cluster enablentdp enablendp enable#drop illegal-mac alarm#dhcp enable#diffserv domain default#acl number 3001 rule

16、5 deny ip source 55 destination 55 rule 15 deny ip source 55 destination 55 #traffic classifier tc1 operator and if-match acl 3001#traffic behavior tb1 deny#traffic policy tp1 classifier tc1 behavior tb1#drop-profile defaul

17、t#ip pool qqww gateway-list network mask excluded-ip-address 54 #ip pool vlan20 gateway-list network mask excluded-ip-address 00 54 #aaa authentication-scheme default authorization-scheme def

18、ault accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http#interface Vlanif1#interface Vlanif10 ip address dhcp select global#interface Vlanif20 ip address dhcp selec

19、t global#interface Vlanif100 ip address #interface MEth0/0/1#interface GigabitEthernet0/0/1 port link-type access port default vlan 10#interface GigabitEthernet0/0/2 port link-type access port default vlan 20 traffic-policy tp1 outbound#interface GigabitEthernet0/0/3#interface

20、 GigabitEthernet0/0/4#interface GigabitEthernet0/0/5#interface GigabitEthernet0/0/6#interface GigabitEthernet0/0/7#interface GigabitEthernet0/0/8#interface GigabitEthernet0/0/9#interface GigabitEthernet0/0/10#interface GigabitEthernet0/0/11#interface GigabitEthernet0/0/12#interface GigabitEthernet0/

21、0/13#interface GigabitEthernet0/0/14#interface GigabitEthernet0/0/15#interface GigabitEthernet0/0/16#interface GigabitEthernet0/0/17#interface GigabitEthernet0/0/18#interface GigabitEthernet0/0/19#interface GigabitEthernet0/0/20#interface GigabitEthernet0/0/21#interface GigabitEthernet0/0/22#interfa

22、ce GigabitEthernet0/0/23#interface GigabitEthernet0/0/24 port link-type access port default vlan 100#interface NULL0#rip 1 version 2 network network network #ip route-static #user-interface con 0user-interface vty 0 4#port-group de#return3.3網(wǎng)絡(luò)防

23、火墻配置防火墻FW1基本配置步驟：1) 配置GE0/0/0的IP地址/24，并加入TRUST區(qū)域； 配置GE0/0/1的IP地址/24，并加入DMZ區(qū)域； 配置GE0/0/2的IP地址/30，并加入UNTRUST區(qū)域；2) 配置允許安全區(qū)域間包過濾。3) 配置RIP路由協(xié)議：Network Network 4) 配置NAT，出口GE0/0/2。5) 配置總部至分部的點到點IPSce隧道：l 配置ACL，匹配IPSec流量l 配置IPSec安全提議1l 配置IKE安全提議l 配置IKE PEERl 配置IPS

24、ec安全策略l 在接口GE 0/0/2上應(yīng)用策略詳細配置：# CLI_VERSION=V300R001# Last configuration was changed at 2016/05/18 16:22:21 from console0 #*BEGIN*public*#stp region-configuration region-name b05fe31530c0 active region-configuration#acl number 3002 rule 5 permit ip source 55 destination

25、55 rule 10 permit ip source 55 destination 55 #ike proposal 1#ike peer 1 exchange-mode aggressive pre-shared-key %$%$UPiwVOh!8qmd(CFwF+,#w%$%$ ike-proposal 1 remote-address #ipsec proposal 1#ipsec policy map 1 isakmp security acl 3002 ike-peer 1

26、 proposal 1#interface GigabitEthernet0/0/0 alias GE0/MGMT ip address #interface GigabitEthernet0/0/1 ip address #interface GigabitEthernet0/0/2 ip address 52 ipsec policy map#interface GigabitEthernet0/0/3#interface GigabitEtherne

27、t0/0/4#interface GigabitEthernet0/0/5#interface GigabitEthernet0/0/6#interface GigabitEthernet0/0/7#interface GigabitEthernet0/0/8#interface NULL0 alias NULL0#firewall zone local set priority 100#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0#firewall zone untrust set priorit

28、y 5 add interface GigabitEthernet0/0/2#firewall zone dmz set priority 50 add interface GigabitEthernet0/0/1#aaa local-user admin password cipher %$%$I$6RBf34,paQv9B&7i4*vm%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-sc

29、heme default # accounting-scheme default # domain default #rip 1 version 2 network network #nqa-jitter tag-version 1 # banner enable #user-interface con 0 authentication-mode noneuser-interface vty 0 4 authentication-mode none protocol inbound all# slb#right-manager server-group#

30、sysname FW1# l2tp domain suffix-separator # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-fi

31、lter default permit interzone local dmz direction outbound# ip df-unreachables enable# firewall ipv6 session link-state check firewall ipv6 statistic system enable# dns resolve # firewall statistic system enable# pki ocsp response cache refresh interval 0 pki ocsp response cache number 0# undo dns p

32、roxy # license-server domain # web-manager enable#policy interzone local untrust inbound policy 1 action permit #policy interzone local dmz inbound policy 1 action permit #policy interzone trust untrust inbound policy 1 action permit #policy interzone trust untrust outbound policy 1 action permit #p

33、olicy interzone trust dmz inbound policy 1 action permit #policy interzone trust dmz outbound policy 1 action permit #nat-policy interzone trust untrust outbound policy 1 action source-nat policy source 55 policy source 55 easy-ip GigabitEthernet0/0/2#return#-E

34、ND-#防火墻FW2基本配置步驟如下：1) 配置GE0/0/0的IP地址/30，并加入UNTRUST區(qū)域； 配置GE0/0/1的IP地址/24，并加入TRUST區(qū)域； 2) 配置允許安全區(qū)域間包過濾。3) 配置RIP路由協(xié)議：Network Network 4) 配置NAT，出口GE0/0/0。5) 配置分部至總部的點到點IPSce隧道：l 配置ACL，匹配IPSec流量l 配置IPSec安全提議1l 配置IKE安全提議l 配置IKE PEERl 配置IPSec安全策略l 在接口GE 0/0/2上應(yīng)用策略詳細配置：# CL

35、I_VERSION=V300R001# Last configuration was changed at 2016/05/18 16:22:59 from console0 #*BEGIN*public*#stp region-configuration region-name 405fd915c0bf active region-configuration#acl number 3002 rule 5 permit ip source 55 destination 55 rule 10 permit ip source

36、 55 destination 55 #ike proposal 1#ike peer 1 exchange-mode aggressive pre-shared-key %$%$;3C|#7eS#uD2wS|x6+=4+%$%$ ike-proposal 1 remote-address #ipsec proposal 1#ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1#interface GigabitEthe

37、rnet0/0/0 alias GE0/MGMT ip address 52 ipsec policy map#interface GigabitEthernet0/0/1 ip address #interface GigabitEthernet0/0/2#interface GigabitEthernet0/0/3#interface GigabitEthernet0/0/4#interface GigabitEthernet0/0/5#interface GigabitEthernet0/0/6

38、#interface GigabitEthernet0/0/7#interface GigabitEthernet0/0/8#interface NULL0 alias NULL0#firewall zone local set priority 100#firewall zone trust set priority 85 add interface GigabitEthernet0/0/1#firewall zone untrust set priority 5 add interface GigabitEthernet0/0/0#firewall zone dmz set priorit

39、y 50#aaa local-user admin password cipher %$%$dJtDxqH383pQl#*6-%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default #rip 1 version 2 network network 20.0.0

40、.0#nqa-jitter tag-version 1 # banner enable #user-interface con 0 authentication-mode noneuser-interface vty 0 4 authentication-mode none protocol inbound all# slb#right-manager server-group# sysname FW2# l2tp domain suffix-separator # firewall packet-filter default permit interzone local trust dire

41、ction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound# ip df-unreachables enable# firewall ipv6 session

42、 link-state check firewall ipv6 statistic system enable# dns resolve # firewall statistic system enable# pki ocsp response cache refresh interval 0 pki ocsp response cache number 0# undo dns proxy # license-server domain # web-manager enable#policy interzone local untrust inbound policy 1 action permit #policy interzone local dmz inbound policy 1 action permit #policy interzone trust untrust inbound policy 1 acti