防火墙安全策略(防火墙基本配置)

qinzhiqiang 07-28 15:33 1,669次浏览

防火墙安全策略(防火墙基本配置)

安全策略

安全策略是网络安全设备的基本功能,控制安全域间/不同地址段间的流量转发。默认情况下,网络安全设备会拒绝设备上所有安全域/地址段之间的信息传输。而安全策略则通过策略规则决定从一个安全域到另一个安全域,以及从一个地址段到另一个地址段的哪些流量该被允许,哪些流量该被拒绝。

防火墙基本配置:安全策略

策略规则的基本元素包括:

  • 流量的源安全域/源地址
  • 流量的目的安全域/目的地址
  • 流量的服务类型
  • 设备在遇到指定类型流量时所做的行为,包括允许(Permit)、拒绝(Deny)、隧道(Tunnel)、是否来自隧道(Fromtunnel)、Web认证以及Portal服务器六个行为

一般来讲,策略规则分为两部分:过滤条件和行为。安全域间流量的源安全域/源地址、目的安全域/目的地址、服务类型以及用户构成策略规则的过滤条件。策略规则都有其独有的ID号。策略规则ID会在定义规则时自动生成,同时用户也可以按自己的需求为策略规则指定ID。整个系统的所有策略规则有特定的排列顺序。在流量进入系统时,系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。

不同设备平台支持的全局最大策略规则数不同。

安全策略支持指定IPv4和IPv6格式的地址条目。如接口开启了IPv6功能,用户可根据需要配置IPv6地址的策略规则。

配置策略规则

配置策略规则,请按照如下步骤进行操作:

1、点击“策略 > 安全策略 > 策略”。

2、点击左上角的“新建”按钮,弹出<策略配置>对话框

防火墙基本配置:安全策略

3、点击“确定”完成配置。

管理策略规则

对策略规则进行管理,包括启用/禁用策略规则,复制策略规则,调整优先级,设置策略默认动作,查看及清零策略命中数,规则冗余检查,命中数检测,时间表有效性检测和显示禁用策略。

启用/禁用策略规则

默认情况下,配置好的策略规则会在系统中立即生效。用户可以通过配置禁用某条策略规则,使其不对流量进行控制。

启用/禁用策略规则,请按照以下步骤进行操作:

1、点击“策略 > 安全策略 > 策略”。

2、选中列表中需要启用/禁用的策略规则对应的复选框。

3、点击“…”,选择“启用”或“禁用”按钮。

策略规则禁用后,不再显示列表中。查看禁用的策略规则,在“…”中选择“显示禁用策略”。

复制/粘贴策略规则

当系统中存在大量的策略规则时,为使用户更方便快捷地创建与已配置策略规则类似的策略规则,可以复制策略规则并且粘贴在指定位置。

复制/粘贴策略规则,请按照以下步骤进行操作:

1、点击“策略 > 安全策略 > 策略”。

2、选中列表中需要复制的策略规则对应的复选框,然后点击“复制”按钮。

3、点击“粘贴”按钮。从弹出菜单中选择指定位置。该策略规则将被粘贴到指定的位置。

调整优先级

调整策略规则的优先级,请按照以下步骤进行操作:

1、点击“策略 > 安全策略 > 策略”。

2、从安全策略列表中选中需要调整优先级的安全策略规则对应的复选框,然后点击列表上方的“移动”按钮。

3、在弹出下拉菜单的“移动到”文本框中,输入ID号或者名称,并点击“之前”或“之后”按钮。被选中的安全策略规则将被移动至指定ID或者名称规则之前或之后。

设置策略规则默认动作

用户可以对未匹配到任何已配置策略规则的流量指定默认行为,系统将按照指定的默认行为对此类流量进行处理。默认情况下,系统会拒绝未匹配到任何已配置策略规则的流量通过。

指定策略的默认行为,请按照以下步骤进行操作:

1、点击“策略 > 安全策略 > 策略”。

2、点击“…”按钮,并在弹出菜单中选择“策略默认动作”。系统弹出<策略默认动作>对话框。

防火墙基本配置:安全策略

3、点击“确定”完成配置。

显示禁用策略

为了更清晰的显示禁用的策略规则,请按照以下步骤进行操作:

1、点击“策略 > 安全策略 > 策略”。

2、点击“…”按钮,并在弹出菜单中勾选“显示禁用策略”复选框。禁用的策略规则将被绿色高亮显示在策略列表中。

防火墙基本配置:安全策略

默认情况下,即当没有选择“显示禁用策略”和“时间表有效性检测”时,策略列表中仅会显示没有禁用的策略规则,但都不会高亮显示。

当同时选择“显示禁用策略”和“时间表有效性检测”时,策略规则管理方法如下:

策略列表中会显示“有效性”这一列,用户可通过该列查看有效性状态。

无论策略是否禁用,失效的基于时间的策略规则都以黄色高亮显示。

有效的基于时间的策略规则,如果该策略禁用,会以绿色高亮显示。