配置策略组
配置策略组
配置策略组,对防火墙策略进行分组管理,在添加防火墙策略时可以设置策略所属的组,下一代安全防护平台系统内置的策略组为“default”,可以添加新的策略组。
配置步骤:
进入策略>防火墙>策略,选择 IPV4 或 IPV6,点击新建策略组, 如下图:
参数说明:
名称:策略组的名称,名称不能重复。
- 配置完毕后,点击确定。
启用策略组
策略组的启用,对应的策略组下所有策略的启用。配置步骤:
进入策略>防火墙>策略,如下图:
- 勾选启用,可以启用一个策略组下的所有策略,取消勾选,策略组下所有策略都将不启用。
删除策略组
删除策略组时,对于策略组下的策略,有 2 种操作方法。
配置步骤:
- 进入策略>防火墙>策略,如下图:
- 点击
选择删除方式,删除策略组。
选项说明:
同步删除组内策略:策略组和组内所有策略都删除。
组内策略移到默认组:策略组被删除,组内策略不被删除,移动到默认组。
移动策略组
可以通过移动策略组的顺序,改变策略的匹配顺序,default 策略组不能被移动。
配置步骤:
- 进入策略>防火墙>策略,如下图:
- 点击
移动策略组。
参数说明:
策略ID:需要被移动的策略组。
移动到:参考的策略组。
之前:移动策略组到参考策略组之前。
之后:移动策略组到参考策略组之后。
- 配置完毕后,点击确定。
插入策略组
配置步骤:
- 进入策略>防火墙>策略,如下图:
- 点击
插入新的策略组,新插入的策略组将放置于被插入策略组之前。
- 配置完毕后,点击确定。
重命名策略组
配置步骤:
- 进入策略>防火墙>策略,如下图:
- 点击
将策略组重新命名。
- 配置完毕后,点击提交。
策略组内策略迁移
配置步骤:
- 进入策略>防火墙>策略,如下图:
- 点击
将策略组内所有的策略移动到另一个策略组内。
参数说明:
名称:将被移动策略的策略组名称。
策略组:策略将移动进入的策略组的名称。
- 配置完毕后,点击确定。
配置防火墙策略
配置策略的基本要素
防火墙策略的基本要素是匹配条件和动作。匹配条件包括数据流的方向、源地址、目的地址、服务、用户、应用和策略生效的时间范围。其中,数据流的方向通过指定入接口、出接口、源地址、目的地址来确定,服务、用户、应用和时间范围都可以直接引用已定义的对象。
策略的动作有 PERMIT,DENY,不同的动作下又有不同的可选配置,从而决定对符合匹配条件的数据流实现哪些业务。
配置步骤:
- 进入策略>防火墙>策略,选择 IPV4 或 IPV6,点击新建策略,如下图:
参数说明:
名称:防火墙策略的名称,名称不可配置,若指定了名称,则不同策略的名称不能重复。
入接口/安全域:数据流的流入方向,可以指定某个特定接口,也可以指定多个接口,any表示所有接口。
出接口/安全域:数据流的流出方向,可以指定某个特定接口,也可以指定多个接口,any表示所有接口。
源地址:数据流的源地址,可以引用已定义的某个或者多个地址对象或对象组,any表示可以源地址可以匹配所有对象。
目的地址:数据流的目的地址,可以引用已定义的某个或者多个地址对象或地址对象组,any表示目的地址可以匹配所有对象。
服务:数据流的服务属性,包括协议,源端口和目的端口,可以引用某个或者多个系统预定义服务、自定义的服务对象或服务对象组,any表示服务可以匹配所有对象。
用户:数据流的用户属性,可以引用某个或者多个已定义的认证用户或用户组,any表示可以匹配所有用户对象。
应用:数据流的应用属性,可以引用某个或者多个系统预定义应用、自定义的应用对象或应用对象组,any表示可以匹配所有应用。
时间:策略生效的时间,可以引用某个或者多个已配置的时间对象,always表示所有时间。
动作:对符合匹配条件的数据流执行的动作,PERMIT为允许,DENY为拒绝。
流量统计:只有当策略动作为允许时才可配置,用于统计匹配该策略的流量,可在监控->会话->流量统计->基于防火墙策略中进行查看。
日志:启用日志功能,当策略动作为允许时,可以选择记录会话开始和会话结束的日志,当策略动作为拒绝时,可以记录匹配该拒绝动作的日志。
会话超时时间:匹配该策略的会话超时时间,不配置时,会话宝石系统默认的协议的超过时间。
策略组:策略所属的策略组。
描述:防火墙策略的描述,长度限制为127个字符,不可配置。
- 配置完毕后,点击提交。
配置DENY策略
配置步骤:
- 进入策略>防火墙>策略,点击新建策略,在动作下拉框中选择 DENY,如下图:
参数说明:
日志:启用日志功能,匹配该策略的数据流被阻断的信息会被发往 syslog服务器或者产生设备本地日志,日志的优先级为信息级别。
- 配置完毕后,点击确定。
配置PERMIT策略
配置步骤:
- 进入策略>防火墙>策略,点击新建策略,在动作下拉框中选择 PERMIT,如下图:
参数说明:
日志:启用日志功能,匹配该策略的数据流创建和拆除的信息会被发往syslog 服务器或者产生设备本地日志,日志的优先级为信息级别。
流量统计:统计匹配该策略的流量,可在监控->会话->流量统计->基于防火墙策略中进行查看。
会话超时时间:匹配该策略的会话的超时时间,不配置时,会话保持系统默认的协议的超时时间。
- 配置完毕后,点击确定。
启用防火墙策略
配置好的防火墙策略必须启用才能使其生效。
配置步骤:
- 进入策略>防火墙>策略,如下图:
- 勾选启用,可以启用一条策略。
编辑防火墙策略
配置步骤:
- 进入策略>防火墙>策略,对某条存在的防火墙策略点击策略 ID 号进入编辑界面,如下图:
- 可以对防火墙策略里面的内容进行编辑修改,修改完毕后点击确定。
删除防火墙策略
配置步骤:
- 进入策略>防火墙>策略,如下图:
- 点击 删除策略。
移动防火墙策略
通过移动策略可以调整防火墙策略的顺序,从而使位置在前的策略优先匹配。
配置步骤:
- 进入策略>防火墙>策略,如下图:
- 点击移动策略。
参数说明:
策略 ID:需要被移动的策略的 ID 号。
移动到(策略 ID):参考策略的 ID 号。
之前:移动策略到参考策略之前。
之后:移动策略到参考策略之后。
- 配置完毕后,点击确定。
插入防火墙策略
配置步骤:
- 进入策略>防火墙>策略,如下图:
- 点击 插入一条新的策略到参考策略之前。
- 配置完毕后,点击更新。
防火墙策略监控与维护
按协议类型查看防火墙策略
进入策略>防火墙>策略,可以根据 ipv4 或者 ipv6 协议类型查看已经配置的防火墙策略。
按分类方式(策略组)查看防火墙策略
有 2 种分类方式,策略组和接口对,默认按策略组显示。
- 进入策略>防火墙>策略,如下图:
策略组默认是关闭的状态,此状态下,策略组前的状态显示为
此时只能看到策略组;
- 点击策略组前的展开策略组下策略,策略组前显示
,如下图:
- 点击 ,收起策略组下策略,如下图:
- 点击
,展开所有策略组,如下图:
- 点击
,收起所有策略组,如下图:
按分类方式(接口对)查看防火墙策略
在防火墙策略配置满足一定条件的提前下,才能按照接口对方式显示,条件为:
1)所有的策略都在“default” 默认策略组里;
2)“default”默认策略组中的策略数量不能超过 1000;
3)策略的接口配置不能包含多接口配置;
- 在满足条件时,按接口对方式显示,如下图:
接口对默认是关闭的状态,此状态下,接口对前的状态显示为,此时只能看到接口对;
- 点击接口对前的,展开接口对下策略,接口对前显示,如下图:
- 点击 ,收起接口对下策略,如下图:
按过滤条件查询防火墙策略
查询步骤:
- 进入策略>防火墙>策略,如下图:
- 点击 条件过滤,如下图:
- 在下拉框中分别选择源地址、目的地址、服务和动作等过滤条件,点击确定,查询配置中与关键字相符的所有防火墙策略,如下图:
防火墙策略冗余检测
防火墙策略按照页面顺序从上至下匹配,若部分策略被前面的策略覆盖而不会被命中,这一类策略被定义为冗余策略,可以通过开启冗余检测自动检查出冗余策略。
检测步骤:
- 进入策略>防火墙>策略,如下图:
- 勾选策略检测开关,冗余的策略被高亮显示,如下图:
查看防火墙策略流量统计
防火墙策略动作为 permit 的情况下且开启流量统计后可在流量统计页面下查看策略的流量统计信息。
查看步骤:
进入监控>会话>流量统计>基于防火墙策略,该页面可以查看到所有当前动作为 permit 的防火墙策略,若策略开启了流量统计,且有流量命中,则可以查看到命中该条策略的当前流量大小和总字节数等信息,如下图:
查看防火墙策略会话监控信息
会话上会记录跟策略相关的信息,点击策略的会话信息按钮,可以查看跟当前
策略相关的会话。
查看步骤:
- 点击策略的会话信息按钮
,如下图:
- 页面跳转到 监控->会话->标准会话,显示跟当前策略相关的会话,如下图:
查看防火墙策略当前连接数
点击策略页面,查看对应策略行对应的命中数列和当前连接数列。
