配置策略組
配置策略組
配置策略組,對防火墻策略進(jìn)行分組管理,在添加防火墻策略時(shí)可以設(shè)置策略所屬的組,下一代安全防護(hù)平臺系統(tǒng)內(nèi)置的策略組為“default”,可以添加新的策略組。
配置步驟:
進(jìn)入策略>防火墻>策略,選擇 IPV4 或 IPV6,點(diǎn)擊新建策略組, 如下圖:
參數(shù)說明:
?
名稱:策略組的名稱,名稱不能重復(fù)。
- 配置完畢后,點(diǎn)擊確定。
啟用策略組
策略組的啟用,對應(yīng)的策略組下所有策略的啟用。配置步驟:
進(jìn)入策略>防火墻>策略,如下圖:
- 勾選啟用,可以啟用一個(gè)策略組下的所有策略,取消勾選,策略組下所有策略都將不啟用。
?
刪除策略組
刪除策略組時(shí),對于策略組下的策略,有 2 種操作方法。
配置步驟:
- 進(jìn)入策略>防火墻>策略,如下圖:
- 點(diǎn)擊
選擇刪除方式,刪除策略組。
選項(xiàng)說明:
同步刪除組內(nèi)策略:策略組和組內(nèi)所有策略都刪除。
組內(nèi)策略移到默認(rèn)組:策略組被刪除,組內(nèi)策略不被刪除,移動(dòng)到默認(rèn)組。
?
移動(dòng)策略組
可以通過移動(dòng)策略組的順序,改變策略的匹配順序,default 策略組不能被移動(dòng)。
配置步驟:
- 進(jìn)入策略>防火墻>策略,如下圖:
- 點(diǎn)擊
移動(dòng)策略組。
參數(shù)說明:
策略ID:需要被移動(dòng)的策略組。
移動(dòng)到:參考的策略組。
之前:移動(dòng)策略組到參考策略組之前。
之后:移動(dòng)策略組到參考策略組之后。
- 配置完畢后,點(diǎn)擊確定。
?
插入策略組
配置步驟:
- 進(jìn)入策略>防火墻>策略,如下圖:
- 點(diǎn)擊
插入新的策略組,新插入的策略組將放置于被插入策略組之前。
- 配置完畢后,點(diǎn)擊確定。
?
重命名策略組
配置步驟:
- 進(jìn)入策略>防火墻>策略,如下圖:
- 點(diǎn)擊
將策略組重新命名。
- 配置完畢后,點(diǎn)擊提交。
?
策略組內(nèi)策略遷移
配置步驟:
- 進(jìn)入策略>防火墻>策略,如下圖:
- 點(diǎn)擊
將策略組內(nèi)所有的策略移動(dòng)到另一個(gè)策略組內(nèi)。
參數(shù)說明:
名稱:將被移動(dòng)策略的策略組名稱。
策略組:策略將移動(dòng)進(jìn)入的策略組的名稱。
- 配置完畢后,點(diǎn)擊確定。
?
配置防火墻策略
配置策略的基本要素
防火墻策略的基本要素是匹配條件和動(dòng)作。匹配條件包括數(shù)據(jù)流的方向、源地址、目的地址、服務(wù)、用戶、應(yīng)用和策略生效的時(shí)間范圍。其中,數(shù)據(jù)流的方向通過指定入接口、出接口、源地址、目的地址來確定,服務(wù)、用戶、應(yīng)用和時(shí)間范圍都可以直接引用已定義的對象。
策略的動(dòng)作有 PERMIT,DENY,不同的動(dòng)作下又有不同的可選配置,從而決定對符合匹配條件的數(shù)據(jù)流實(shí)現(xiàn)哪些業(yè)務(wù)。
配置步驟:
- 進(jìn)入策略>防火墻>策略,選擇 IPV4 或 IPV6,點(diǎn)擊新建策略,如下圖:
參數(shù)說明:
名稱:防火墻策略的名稱,名稱不可配置,若指定了名稱,則不同策略的名稱不能重復(fù)。
入接口/安全域:數(shù)據(jù)流的流入方向,可以指定某個(gè)特定接口,也可以指定多個(gè)接口,any表示所有接口。
出接口/安全域:數(shù)據(jù)流的流出方向,可以指定某個(gè)特定接口,也可以指定多個(gè)接口,any表示所有接口。
源地址:數(shù)據(jù)流的源地址,可以引用已定義的某個(gè)或者多個(gè)地址對象或?qū)ο蠼M,any表示可以源地址可以匹配所有對象。
目的地址:數(shù)據(jù)流的目的地址,可以引用已定義的某個(gè)或者多個(gè)地址對象或地址對象組,any表示目的地址可以匹配所有對象。
服務(wù):數(shù)據(jù)流的服務(wù)屬性,包括協(xié)議,源端口和目的端口,可以引用某個(gè)或者多個(gè)系統(tǒng)預(yù)定義服務(wù)、自定義的服務(wù)對象或服務(wù)對象組,any表示服務(wù)可以匹配所有對象。
用戶:數(shù)據(jù)流的用戶屬性,可以引用某個(gè)或者多個(gè)已定義的認(rèn)證用戶或用戶組,any表示可以匹配所有用戶對象。
應(yīng)用:數(shù)據(jù)流的應(yīng)用屬性,可以引用某個(gè)或者多個(gè)系統(tǒng)預(yù)定義應(yīng)用、自定義的應(yīng)用對象或應(yīng)用對象組,any表示可以匹配所有應(yīng)用。
時(shí)間:策略生效的時(shí)間,可以引用某個(gè)或者多個(gè)已配置的時(shí)間對象,always表示所有時(shí)間。
動(dòng)作:對符合匹配條件的數(shù)據(jù)流執(zhí)行的動(dòng)作,PERMIT為允許,DENY為拒絕。
流量統(tǒng)計(jì):只有當(dāng)策略動(dòng)作為允許時(shí)才可配置,用于統(tǒng)計(jì)匹配該策略的流量,可在監(jiān)控->會話->流量統(tǒng)計(jì)->基于防火墻策略中進(jìn)行查看。
日志:啟用日志功能,當(dāng)策略動(dòng)作為允許時(shí),可以選擇記錄會話開始和會話結(jié)束的日志,當(dāng)策略動(dòng)作為拒絕時(shí),可以記錄匹配該拒絕動(dòng)作的日志。
會話超時(shí)時(shí)間:匹配該策略的會話超時(shí)時(shí)間,不配置時(shí),會話寶石系統(tǒng)默認(rèn)的協(xié)議的超過時(shí)間。
策略組:策略所屬的策略組。
描述:防火墻策略的描述,長度限制為127個(gè)字符,不可配置。
- 配置完畢后,點(diǎn)擊提交。
?
?配置DENY策略
配置步驟:
- 進(jìn)入策略>防火墻>策略,點(diǎn)擊新建策略,在動(dòng)作下拉框中選擇 DENY,如下圖:
參數(shù)說明:
日志:啟用日志功能,匹配該策略的數(shù)據(jù)流被阻斷的信息會被發(fā)往 syslog服務(wù)器或者產(chǎn)生設(shè)備本地日志,日志的優(yōu)先級為信息級別。
- 配置完畢后,點(diǎn)擊確定。
?
配置PERMIT策略
配置步驟:
- 進(jìn)入策略>防火墻>策略,點(diǎn)擊新建策略,在動(dòng)作下拉框中選擇 PERMIT,如下圖:
參數(shù)說明:
日志:啟用日志功能,匹配該策略的數(shù)據(jù)流創(chuàng)建和拆除的信息會被發(fā)往syslog 服務(wù)器或者產(chǎn)生設(shè)備本地日志,日志的優(yōu)先級為信息級別。
流量統(tǒng)計(jì):統(tǒng)計(jì)匹配該策略的流量,可在監(jiān)控->會話->流量統(tǒng)計(jì)->基于防火墻策略中進(jìn)行查看。
會話超時(shí)時(shí)間:匹配該策略的會話的超時(shí)時(shí)間,不配置時(shí),會話保持系統(tǒng)默認(rèn)的協(xié)議的超時(shí)時(shí)間。
- 配置完畢后,點(diǎn)擊確定。
?
?啟用防火墻策略
配置好的防火墻策略必須啟用才能使其生效。
配置步驟:
- 進(jìn)入策略>防火墻>策略,如下圖:
- 勾選啟用,可以啟用一條策略。
編輯防火墻策略
配置步驟:
- 進(jìn)入策略>防火墻>策略,對某條存在的防火墻策略點(diǎn)擊策略 ID 號進(jìn)入編輯界面,如下圖:
- 可以對防火墻策略里面的內(nèi)容進(jìn)行編輯修改,修改完畢后點(diǎn)擊確定。
?
刪除防火墻策略
配置步驟:
- 進(jìn)入策略>防火墻>策略,如下圖:
- 點(diǎn)擊 刪除策略。
?
移動(dòng)防火墻策略
通過移動(dòng)策略可以調(diào)整防火墻策略的順序,從而使位置在前的策略優(yōu)先匹配。
配置步驟:
- 進(jìn)入策略>防火墻>策略,如下圖:
- 點(diǎn)擊移動(dòng)策略。
參數(shù)說明:
策略 ID:需要被移動(dòng)的策略的 ID 號。
移動(dòng)到(策略 ID):參考策略的 ID 號。
之前:移動(dòng)策略到參考策略之前。
之后:移動(dòng)策略到參考策略之后。
- 配置完畢后,點(diǎn)擊確定。
?
?插入防火墻策略
配置步驟:
- 進(jìn)入策略>防火墻>策略,如下圖:
- 點(diǎn)擊 插入一條新的策略到參考策略之前。
?
- 配置完畢后,點(diǎn)擊更新。
?
防火墻策略監(jiān)控與維護(hù)
按協(xié)議類型查看防火墻策略
進(jìn)入策略>防火墻>策略,可以根據(jù) ipv4 或者 ipv6 協(xié)議類型查看已經(jīng)配置的防火墻策略。
?按分類方式(策略組)查看防火墻策略
有 2 種分類方式,策略組和接口對,默認(rèn)按策略組顯示。
- 進(jìn)入策略>防火墻>策略,如下圖:
策略組默認(rèn)是關(guān)閉的狀態(tài),此狀態(tài)下,策略組前的狀態(tài)顯示為
此時(shí)只能看到策略組;
- 點(diǎn)擊策略組前的展開策略組下策略,策略組前顯示
,如下圖:
- 點(diǎn)擊 ,收起策略組下策略,如下圖:
- 點(diǎn)擊
,展開所有策略組,如下圖:
- 點(diǎn)擊
,收起所有策略組,如下圖:
?按分類方式(接口對)查看防火墻策略
在防火墻策略配置滿足一定條件的提前下,才能按照接口對方式顯示,條件為:
1)所有的策略都在“default” 默認(rèn)策略組里;
2)“default”默認(rèn)策略組中的策略數(shù)量不能超過 1000;
3)策略的接口配置不能包含多接口配置;
- 在滿足條件時(shí),按接口對方式顯示,如下圖:
接口對默認(rèn)是關(guān)閉的狀態(tài),此狀態(tài)下,接口對前的狀態(tài)顯示為,此時(shí)只能看到接口對;
- 點(diǎn)擊接口對前的,展開接口對下策略,接口對前顯示,如下圖:
- 點(diǎn)擊 ,收起接口對下策略,如下圖:
?按過濾條件查詢防火墻策略
查詢步驟:
- 進(jìn)入策略>防火墻>策略,如下圖:
- 點(diǎn)擊 條件過濾,如下圖:
- 在下拉框中分別選擇源地址、目的地址、服務(wù)和動(dòng)作等過濾條件,點(diǎn)擊確定,查詢配置中與關(guān)鍵字相符的所有防火墻策略,如下圖:
?
防火墻策略冗余檢測
防火墻策略按照頁面順序從上至下匹配,若部分策略被前面的策略覆蓋而不會被命中,這一類策略被定義為冗余策略,可以通過開啟冗余檢測自動(dòng)檢查出冗余策略。
檢測步驟:
- 進(jìn)入策略>防火墻>策略,如下圖:
- 勾選策略檢測開關(guān),冗余的策略被高亮顯示,如下圖:
?
?查看防火墻策略流量統(tǒng)計(jì)
防火墻策略動(dòng)作為 permit 的情況下且開啟流量統(tǒng)計(jì)后可在流量統(tǒng)計(jì)頁面下查看策略的流量統(tǒng)計(jì)信息。
查看步驟:
進(jìn)入監(jiān)控>會話>流量統(tǒng)計(jì)>基于防火墻策略,該頁面可以查看到所有當(dāng)前動(dòng)作為 permit 的防火墻策略,若策略開啟了流量統(tǒng)計(jì),且有流量命中,則可以查看到命中該條策略的當(dāng)前流量大小和總字節(jié)數(shù)等信息,如下圖:
?
?查看防火墻策略會話監(jiān)控信息
會話上會記錄跟策略相關(guān)的信息,點(diǎn)擊策略的會話信息按鈕,可以查看跟當(dāng)前
策略相關(guān)的會話。
查看步驟:
- 點(diǎn)擊策略的會話信息按鈕
,如下圖:
- 頁面跳轉(zhuǎn)到 監(jiān)控->會話->標(biāo)準(zhǔn)會話,顯示跟當(dāng)前策略相關(guān)的會話,如下圖:
?
查看防火墻策略當(dāng)前連接數(shù)
點(diǎn)擊策略頁面,查看對應(yīng)策略行對應(yīng)的命中數(shù)列和當(dāng)前連接數(shù)列。
?
