安氏 防火墙 策略配置 linktrust.doc

策略配置 策略配置是LinkTrust CyberWall实施访问控制的最重要和最关键的部分，在此用户可以根据需要定义防火墙所在网络中的各种资源的访问控制，在这些策略中用到的资源就是在网络配置中定义的各种对象。对流经防火墙的数据，它会按照用户在此定义的各策略规则进行匹配检查。 每条策略规则包含一个唯一标识的策略规则序号、防火墙用于匹配数据包的各项属性 (如：源网络、目的网络、服务，多端口防火墙还涉及网络对象所属的安全域及接口)流探测 对所有策略规则可以进行的操作包括查看、新增、删除和修改。 有一种特殊的策略规则就是阻止主机，该规则是指设置防火墙禁止某主机通过。 LinkTrust CyberWall的IDS互动是指当IDS到在防火墙上设置阻断规则的时候，防火墙可以动态的阻断符合当前规则的已经建立的连接。 带宽管理与防火墙有效地结合，保证了系统即使在网络繁忙时也可正常工作运行。带宽包括带宽规则的配置和带宽监控。 策略配置 从策略主菜单进入策略配置界面。 浏览 在主菜单的策略中点击浏览，即可进行策略规则的浏览。这与在主菜单直接点击策略的缺省显示是相同的。有以下浏览功能： 分区浏览功能：浏览界面是按untrust, trust, dmz或其它自定义的安全域分区显示策略规则的。 分页浏览功能：在此浏览界面中可以点击 中的数字页面进行浏览。 翻页浏览功能：在此浏览界面中可以点击 或进行前后翻页浏览。 全部显示功能：点击时，此时的显示不分页，在一个屏内显示所在区的所有策略规则。 查看策略的入侵检测情况：某条策略的三个入侵检测选项定制与否，可以直接从浏览界面的“入侵检测”一栏不同颜色的图标查看，依次代表IDS、流探测、anti-synflood。灰色为关闭状态，如果处于启用状态，图标为激活状态；也可将鼠标直接放在图标上查看。 查看策略的日志：可以通过点中“日志”一栏的图标（如果记录日志，则显示为），进入相应策略的日志界面查看。 新增 在浏览界面的左侧菜单中点击新增，进入新增策略规则界面。 当选择ping服务时，界面上会增加是否使用ICMP代理的选项。 序号 输入新增策略规则的序号，序号为数字。 若该数字与已定义的规则序号有重复，则防火墙会自动将原策略规则以及序号排在其后的所有规则自动后移一个数字，将新增策略规则的序号设为输入的序号。 若不输入序号，自动将该规则的序号置为0，即为首条策略规则。 是否启用 选择启用或不启用，表示新增该策略规则后，是否生效，即是否防火墙按此规则进行访问控制。 源网络 由于多端口概念的引入，对于网络对象，必须指定该对象所属的安全域和接口。 该三个下拉列表中依次列出已经定义的安全域、接口、网络对象（包括组对象）。在此为新增的策略规则选择要进行匹配的源网络的安全域、接口和网络对象。 目的网络 同理，在目的网络的三个下拉列表中依次列出已经定义的安全域、接口、网络对象（包括组对象）。在此为新增的策略规则选择要进行匹配的目的网络的安全域、接口及网络对象。 服务 该下拉列表中列出在主菜单的服务中定义的所有服务。在此为新增的策略规则选择要进行匹配的服务。 动作 这里的动作是指防火墙对匹配了上述属性的数据包采取何种访问控制。 通过：防火墙允许匹配该规则的数据包通过。 拒绝: 防火墙禁止匹配该规则的数据包通过。 授权：防火墙对于匹配了该规则的数据包进行认证检查。 认证方式： 1）如果用户在认证方式（详见认证方式部分）中选择的是本地认证，此时界面上显示的认证方式是本地认证，还需要在本地认证下拉列表中选择要采用的某一授权规则。（对于此授权规则适用的用户若经过主动认证，并在认证的有效期内，则防火墙允许匹配了该策略规则的数据包通过，否则禁止通过。） 2）如果用户在认证方式中选择的是Radius或MSNT远程认证，则此时也会在界面上显示出来。 时间 从时间下拉列表中选择某一时间规则，策略将在该时间规则定义的时间段内生效，在该时间规则定义的时间段外，策略无效。（详见时间对象） 拒绝时发送 当上述动作属性选择了拒绝时，即对匹配了规则的数据包采取拒绝的访问控制时，对该数据包采取何种处理。 None:不发送任何数据包。 TCP Reset：发送TCP Reset数据包(针对匹配了的TCP包起作用)。 ICMP：对匹配了的UDP数据包，发送ICMP包，还可以选择ICMP包的TYPE 3 的CODE，如下表所述： 名称 代码 含义 ICMP_UNREACH_NET 0 Net unreachable ICMP_UNREACH_HOST 1 Host Unreachable ICMP_UNREACH_PROTOCOL 2 Protocol Unreachable ICMP_UNREACH_