联想网御防火墙PowerV Web界面操作手册_5策略配置.doc

策略配置 本章是防火墙配置的重点。符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。 错误的安全规则不但有可能使得防火墙形同虚设，甚至有可能妨碍网络正常功能的使用。 安全选项 安全选项提供防火墙可设置的一些全局安全策略，包括包过滤策略、抗攻击策略、IP/MAC检查开关和是否允许除IP和ARP之外的其他二层协议通过。这些参数对整个防火墙生效。 界面如下图所示： 图 51 安全选项配置 包过滤策略 包过滤缺省允许策略：提供包过滤缺省策略的选项设置，选中为允许，不选为禁止。包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。如果包过滤缺省策略是禁止，用户添加的包过滤规则应该是允许哪些连接可以通过；如果包过滤缺省策略是允许，用户添加的包过滤规则应该是禁止哪些连接不能通过。 严格的状态检测：选中为启用，不选为禁止。仅针对TCP连接。只有完成三次握手的TCP连接才创建状态，除此之外的任何TCP数据包都不创建状态。启用严格的状态检测，是为了防止ACK扫描攻击。因为如果没有严格的状态检测，那么如果收到ACK置位的包，防火墙就会创建相应的状态，使得此连接可以通过防火墙。需要使用“策略配置安全规则包过滤规则策略配置安全规则包过滤规则52 安全选项高级设置 规则配置立即生效：启用后为规则优先（缺省是状态优先）。如果不启用，当一个连接在防火墙上的建立起来后，设置了与原有的规则相反的规则，则此时数据包仍能够根据建立的状态表通过防火墙；如果启用，则此时数据包根据设定的规则将无法通过防火墙。重新设置规则可能会造成已有连接中断。建议不启用。 快速模式：启用后，转发性能有一定提高，但是影响部分功能（如非80端口的URL过滤和网页关键字过滤等功能）。建议不启用。 抗攻击 设定全局的抗攻击选项，包括抗地址欺骗攻击，抗源路由攻击，抗Smurf攻击，抗LAND攻击，抗Winnuke攻击，抗Queso扫描，抗NMAP扫描，抗NULL扫描，抗圣诞树攻击，和抗FIN扫描。选中后，防火墙将对所有流经的数据包进行抗攻击检查。 IP/MAC检查 设定IP/MAC检查开关，以及是否允许未绑定IP/MAC对的包通过。选中后，防火墙将对流经的数据进行IP/MAC检查，未绑定IP/MAC对的数据包将被拒绝。 请注意：如果设置了启动IP/MAC检查53 安全选项的自定义协议配置 其中：名称是8位字母和数字的组合，协议号范围是1-65535，且3保留。 还可以设定除以上协议外，是否允许其他类型的数据包通过。 表 51 42种已定义二层协议表 名称（协议号） 说明 LOOP(96) Ethernet Loopback packet PUP(512) Xerox PUP packet PUPAT(513) Xerox PUP Addr Trans packet IP(2048) Internet Protocol packet X25(2053) CCITT X.25 ARP(2054) Address Resolution packet BPQ(2303) G8BPQ AX.25 Ethernet Packet IEEEPUP(2560) Xerox IEEE802.3 PUP packet IEEEPUPAT(2561) Xerox IEEE802.3 PUP Addr Trans packet DEC(24576) DEC Assigned proto DNA_DL(24577) DEC DNA Dump/Load DNA_RC(24578) DEC DNA Remote Console HDLC(25) HDLC frames LAT(24580) DEC LAT DIAG(24581) DEC Diagnostics CUST(24582) DEC Customer use SCA(24583) DEC Systems Comms Arch RARP(32821) Reverse Addr Res packet CONTROL(22) Card specific control frames LOCALTALK(9) Localtalk pseudo type MOBITEX(21) Mobitex IPX(33079) IPX over DIX IPV6(34525) IPv6 over bluebook AX25(2) Dummy protocol id for AX.25 802_2(4) 802.2 frames EDP2(34978) Coraid EDP2 802_3(1) Dummy type for 802.3 frames SNAP(5) Inte