配置策略組
配置策略組
配置策略組,對防火墻策略進行分組管理,在添加防火墻策略時可以設置策略所屬的組,下一代安全防護平臺系統(tǒng)內置的策略組為“default”,可以添加新的策略組。
配置步驟:
進入策略>防火墻>策略,選擇 IPV4 或 IPV6,點擊新建策略組, 如下圖:
參數說明:
?
名稱:策略組的名稱,名稱不能重復。
- 配置完畢后,點擊確定。
啟用策略組
策略組的啟用,對應的策略組下所有策略的啟用。配置步驟:
進入策略>防火墻>策略,如下圖:
- 勾選啟用,可以啟用一個策略組下的所有策略,取消勾選,策略組下所有策略都將不啟用。
?
刪除策略組
刪除策略組時,對于策略組下的策略,有 2 種操作方法。
配置步驟:
- 進入策略>防火墻>策略,如下圖:
- 點擊
選擇刪除方式,刪除策略組。
選項說明:
同步刪除組內策略:策略組和組內所有策略都刪除。
組內策略移到默認組:策略組被刪除,組內策略不被刪除,移動到默認組。
?
移動策略組
可以通過移動策略組的順序,改變策略的匹配順序,default 策略組不能被移動。
配置步驟:
- 進入策略>防火墻>策略,如下圖:
- 點擊
移動策略組。
參數說明:
策略ID:需要被移動的策略組。
移動到:參考的策略組。
之前:移動策略組到參考策略組之前。
之后:移動策略組到參考策略組之后。
- 配置完畢后,點擊確定。
?
插入策略組
配置步驟:
- 進入策略>防火墻>策略,如下圖:
- 點擊
插入新的策略組,新插入的策略組將放置于被插入策略組之前。
- 配置完畢后,點擊確定。
?
重命名策略組
配置步驟:
- 進入策略>防火墻>策略,如下圖:
- 點擊
將策略組重新命名。
- 配置完畢后,點擊提交。
?
策略組內策略遷移
配置步驟:
- 進入策略>防火墻>策略,如下圖:
- 點擊
將策略組內所有的策略移動到另一個策略組內。
參數說明:
名稱:將被移動策略的策略組名稱。
策略組:策略將移動進入的策略組的名稱。
- 配置完畢后,點擊確定。
?
配置防火墻策略
配置策略的基本要素
防火墻策略的基本要素是匹配條件和動作。匹配條件包括數據流的方向、源地址、目的地址、服務、用戶、應用和策略生效的時間范圍。其中,數據流的方向通過指定入接口、出接口、源地址、目的地址來確定,服務、用戶、應用和時間范圍都可以直接引用已定義的對象。
策略的動作有 PERMIT,DENY,不同的動作下又有不同的可選配置,從而決定對符合匹配條件的數據流實現(xiàn)哪些業(yè)務。
配置步驟:
- 進入策略>防火墻>策略,選擇 IPV4 或 IPV6,點擊新建策略,如下圖:
參數說明:
名稱:防火墻策略的名稱,名稱不可配置,若指定了名稱,則不同策略的名稱不能重復。
入接口/安全域:數據流的流入方向,可以指定某個特定接口,也可以指定多個接口,any表示所有接口。
出接口/安全域:數據流的流出方向,可以指定某個特定接口,也可以指定多個接口,any表示所有接口。
源地址:數據流的源地址,可以引用已定義的某個或者多個地址對象或對象組,any表示可以源地址可以匹配所有對象。
目的地址:數據流的目的地址,可以引用已定義的某個或者多個地址對象或地址對象組,any表示目的地址可以匹配所有對象。
服務:數據流的服務屬性,包括協(xié)議,源端口和目的端口,可以引用某個或者多個系統(tǒng)預定義服務、自定義的服務對象或服務對象組,any表示服務可以匹配所有對象。
用戶:數據流的用戶屬性,可以引用某個或者多個已定義的認證用戶或用戶組,any表示可以匹配所有用戶對象。
應用:數據流的應用屬性,可以引用某個或者多個系統(tǒng)預定義應用、自定義的應用對象或應用對象組,any表示可以匹配所有應用。
時間:策略生效的時間,可以引用某個或者多個已配置的時間對象,always表示所有時間。
動作:對符合匹配條件的數據流執(zhí)行的動作,PERMIT為允許,DENY為拒絕。
流量統(tǒng)計:只有當策略動作為允許時才可配置,用于統(tǒng)計匹配該策略的流量,可在監(jiān)控->會話->流量統(tǒng)計->基于防火墻策略中進行查看。
日志:啟用日志功能,當策略動作為允許時,可以選擇記錄會話開始和會話結束的日志,當策略動作為拒絕時,可以記錄匹配該拒絕動作的日志。
會話超時時間:匹配該策略的會話超時時間,不配置時,會話寶石系統(tǒng)默認的協(xié)議的超過時間。
策略組:策略所屬的策略組。
描述:防火墻策略的描述,長度限制為127個字符,不可配置。
- 配置完畢后,點擊提交。
?
?配置DENY策略
配置步驟:
- 進入策略>防火墻>策略,點擊新建策略,在動作下拉框中選擇 DENY,如下圖:
參數說明:
日志:啟用日志功能,匹配該策略的數據流被阻斷的信息會被發(fā)往 syslog服務器或者產生設備本地日志,日志的優(yōu)先級為信息級別。
- 配置完畢后,點擊確定。
?
配置PERMIT策略
配置步驟:
- 進入策略>防火墻>策略,點擊新建策略,在動作下拉框中選擇 PERMIT,如下圖:
參數說明:
日志:啟用日志功能,匹配該策略的數據流創(chuàng)建和拆除的信息會被發(fā)往syslog 服務器或者產生設備本地日志,日志的優(yōu)先級為信息級別。
流量統(tǒng)計:統(tǒng)計匹配該策略的流量,可在監(jiān)控->會話->流量統(tǒng)計->基于防火墻策略中進行查看。
會話超時時間:匹配該策略的會話的超時時間,不配置時,會話保持系統(tǒng)默認的協(xié)議的超時時間。
- 配置完畢后,點擊確定。
?
?啟用防火墻策略
配置好的防火墻策略必須啟用才能使其生效。
配置步驟:
- 進入策略>防火墻>策略,如下圖:
- 勾選啟用,可以啟用一條策略。
編輯防火墻策略
配置步驟:
- 進入策略>防火墻>策略,對某條存在的防火墻策略點擊策略 ID 號進入編輯界面,如下圖:
- 可以對防火墻策略里面的內容進行編輯修改,修改完畢后點擊確定。
?
刪除防火墻策略
配置步驟:
- 進入策略>防火墻>策略,如下圖:
- 點擊 刪除策略。
?
移動防火墻策略
通過移動策略可以調整防火墻策略的順序,從而使位置在前的策略優(yōu)先匹配。
配置步驟:
- 進入策略>防火墻>策略,如下圖:
- 點擊移動策略。
參數說明:
策略 ID:需要被移動的策略的 ID 號。
移動到(策略 ID):參考策略的 ID 號。
之前:移動策略到參考策略之前。
之后:移動策略到參考策略之后。
- 配置完畢后,點擊確定。
?
?插入防火墻策略
配置步驟:
- 進入策略>防火墻>策略,如下圖:
- 點擊 插入一條新的策略到參考策略之前。
?
- 配置完畢后,點擊更新。
?
防火墻策略監(jiān)控與維護
按協(xié)議類型查看防火墻策略
進入策略>防火墻>策略,可以根據 ipv4 或者 ipv6 協(xié)議類型查看已經配置的防火墻策略。
?按分類方式(策略組)查看防火墻策略
有 2 種分類方式,策略組和接口對,默認按策略組顯示。
- 進入策略>防火墻>策略,如下圖:
策略組默認是關閉的狀態(tài),此狀態(tài)下,策略組前的狀態(tài)顯示為
此時只能看到策略組;
- 點擊策略組前的展開策略組下策略,策略組前顯示
,如下圖:
- 點擊 ,收起策略組下策略,如下圖:
- 點擊
,展開所有策略組,如下圖:
- 點擊
,收起所有策略組,如下圖:
?按分類方式(接口對)查看防火墻策略
在防火墻策略配置滿足一定條件的提前下,才能按照接口對方式顯示,條件為:
1)所有的策略都在“default” 默認策略組里;
2)“default”默認策略組中的策略數量不能超過 1000;
3)策略的接口配置不能包含多接口配置;
- 在滿足條件時,按接口對方式顯示,如下圖:
接口對默認是關閉的狀態(tài),此狀態(tài)下,接口對前的狀態(tài)顯示為,此時只能看到接口對;
- 點擊接口對前的,展開接口對下策略,接口對前顯示,如下圖:
- 點擊 ,收起接口對下策略,如下圖:
?按過濾條件查詢防火墻策略
查詢步驟:
- 進入策略>防火墻>策略,如下圖:
- 點擊 條件過濾,如下圖:
- 在下拉框中分別選擇源地址、目的地址、服務和動作等過濾條件,點擊確定,查詢配置中與關鍵字相符的所有防火墻策略,如下圖:
?
防火墻策略冗余檢測
防火墻策略按照頁面順序從上至下匹配,若部分策略被前面的策略覆蓋而不會被命中,這一類策略被定義為冗余策略,可以通過開啟冗余檢測自動檢查出冗余策略。
檢測步驟:
- 進入策略>防火墻>策略,如下圖:
- 勾選策略檢測開關,冗余的策略被高亮顯示,如下圖:
?
?查看防火墻策略流量統(tǒng)計
防火墻策略動作為 permit 的情況下且開啟流量統(tǒng)計后可在流量統(tǒng)計頁面下查看策略的流量統(tǒng)計信息。
查看步驟:
進入監(jiān)控>會話>流量統(tǒng)計>基于防火墻策略,該頁面可以查看到所有當前動作為 permit 的防火墻策略,若策略開啟了流量統(tǒng)計,且有流量命中,則可以查看到命中該條策略的當前流量大小和總字節(jié)數等信息,如下圖:
?
?查看防火墻策略會話監(jiān)控信息
會話上會記錄跟策略相關的信息,點擊策略的會話信息按鈕,可以查看跟當前
策略相關的會話。
查看步驟:
- 點擊策略的會話信息按鈕
,如下圖:
- 頁面跳轉到 監(jiān)控->會話->標準會話,顯示跟當前策略相關的會話,如下圖:
?
查看防火墻策略當前連接數
點擊策略頁面,查看對應策略行對應的命中數列和當前連接數列。
?
