1. 組網需求
某公司以 Device 作為網路邊界安全防護裝置，連線公司內部網路和 Internet。公司只對內部提供Web 服務，不對外提供這些服務。現需要在裝置上部署安全域，並基於以下安全需求進行域間策略
的配置。
• 與介面 GigabitEthernet1/0/1 相連的公司內部網路屬於可信任網路，部署在 Trust 安全域，可以自由訪問 Web 伺服器和外部網路。
• 與介面 GigabitEthernet1/0/3 相連的外部網路屬於不可信任網路，部署在 Untrust 安全域，不能訪問公司內部網路和 Web 伺服器。
• 與介面 GigabitEthernet1/0/2 相連的 Web server、FTP server 部署在 DMZ 安全域，可以被Trust 安全域的主機自由訪問，但不允許訪問處於 Trust 域的公司內部網路。

向安全域 Trust 中新增介面 GigabitEthernet1/0/1。

system-view
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit

向安全域 DMZ 中新增介面 GigabitEthernet1/0/2。

[Device] security-zone name dmz

向安全域 Untrust 中新增介面 GigabitEthernet1/0/3。

[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/3
[Device-security-zone-Untrust] quit

(3) 配置 ACL
# 配置 ACL 3500，定義規則：允許 IP 流量。

[Device] acl advanced 3500
[Device-acl-ipv4-adv-3500] rule permit ip
[Device-acl-ipv4-adv-3500] quit

(4) 配置域間策略
# 建立源安全域 Trust 到目的安全域 Untrust 的安全域間例項，並在該安全域間例項上應用包過濾，可以拒絕 Untrust 域使用者對 Trust 的訪問，但 Trust 域使用者訪問 Untrust 域以及返回的報文可以通過。

[Device] zone-pair security source trust destination untrust
[Device-zone-pair-security-Trust-Untrust] packet-filter 3500
[Device-zone-pair-security-Trust-Untrust] quit
# 建立源安全域 Trust 到目的安全域 DMZ 的安全域間例項，並在該安全域間例項上應用包過濾，可以拒絕 DMZ 域使用者對 Trust 的訪問，但 Trust 域使用者訪問 DMZ 域以及返回的報文可以通過。

[Device] zone-pair security source trust destination dmz
[Device-zone-pair-security-Trust-DMZ] packet-filter 3500
[Device-zone-pair-security-Trust-DMZ] quit

4. 驗證配置
以上配置完成後，內網主機可訪問外部網路以及 DMZ 安全域內的 Web 伺服器資源。外部網路向內部網路和 DMZ 安全域主動發起的連線請求將被拒絕。