联想网御防火墙PowerV-Web界面操作手册-5策略配置.doc

策略配置

本章是防火墙配置的重点。符合平安规那么的策略是保证防火墙真正起到“防火”作用的根底。错误的平安规那么不但有可能使得防火墙形同虚设，甚至有可能阻碍网络正常功能的使用。

平安选项

平安选项提供防火墙可设置的一些全局平安策略，包括包过滤策略、抗攻击策略、IP/MAC检查开关和是否允许除IP和ARP之外的其他二层协议通过。这些参数对整个防火墙生效。

界面如下列图所示：

图STYLEREF1\s5SEQ图\*ARABIC\s11平安选项配置

包过滤策略

包过滤缺省允许策略：提供包过滤缺省策略的选项设置，选中为允许，不选为禁止。包过滤缺省策略是当所有的用户添加的包过滤规那么都没有被匹配时所使用的策略。如果包过滤缺省策略是禁止，用户添加的包过滤规那么应该是允许哪些连接可以通过；如果包过滤缺省策略是允许，用户添加的包过滤规那么应该是禁止哪些连接不能通过。

严格的状态检测：选中为启用，不选为禁止。仅针对TCP连接。只有完成三次握手的TCP连接才创立状态，除此之外的任何TCP数据包都不创立状态。启用严格的状态检测，是为了防止ACK扫描攻击。因为如果没有严格的状态检测，那么如果收到ACK置位的包，防火墙就会创立相应的状态，使得此连接可以通过防火墙。需要使用“策略配置平安规那么包过滤规那么”中的“长连接”属性，设置连接建立的时间时，就必须选中此项属性“策略配置平安规那么包过滤规那么”。在某些特殊网络环境下，防火墙可能无法收到所有三次握手的数据包，此时就不能选中严格的状态检测。

包过滤策略中还包括两项高级设置：

图STYLEREF1\s5SEQ图\*ARABIC\s12平安选项高级设置

规那么配置立即生效：启用后为规那么优先〔缺省是状态优先〕。如果不启用，当一个连接在防火墙上的建立起来后，设置了与原有的规那么相反的规那么，那么此时数据包仍能够根据建立的状态表通过防火墙；如果启用，那么此时数据包根据设定的规那么将无法通过防火墙。重新设置规那么可能会造成已有连接中断。建议不启用。

快速模式：启用后，转发性能有一定提高，但是影响局部功能〔如非80端口的URL过滤和网页关键字过滤等功能〕。建议不启用。

抗攻击

设定全局的抗攻击选项，包括抗地址欺骗攻击，抗源路由攻击，抗Smurf攻击，抗LAND攻击，抗Winnuke攻击，抗Queso扫描，抗NMAP扫描，抗NULL扫描，抗圣诞树攻击，和抗FIN扫描。选中后，防火墙将对所有流经的数据包进行抗攻击检查。

IP/MAC检查

设定IP/MAC检查开关，以及是否允许未绑定IP/MAC对的包通过。选中后，防火墙将对流经的数据进行IP/MAC检查，未绑定IP/MAC对的数据包将被拒绝。

请注意：如果设置了启动IP/MAC检查并且未选中允许未绑定IP/MAC对的数据包通过，那么没有绑定IP/MAC对的计算机将无法与防火墙进行通信，包括管理主机。

允许所有二层协议

设定是否允许除IP和ARP外的以太网协议通过。协议类型包括42种固定协议〔其中IP和ARP不可编辑〕和5种自定义协议。自定义协议的维护界面如下列图示：

图STYLEREF1\s5SEQ图\*ARABIC\s13平安选项的自定义协议配置

其中：名称是8位字母和数字的组合，协议号范围是1-65535，且3保存。

还可以设定除以上协议外，是否允许其他类型的数据包通过。

表STYLEREF1\s5SEQ表\*ARABIC\s1142种已定义二层协议表

名称〔协议号〕

说明

LOOP(96)

EthernetLoopbackpacket

PUP(512)

XeroxPUPpacket

PUPAT(513)

XeroxPUPAddrTranspacket

IP(2048)

InternetProtocolpacket

X25(2053)

ARP(2054)

AddressResolutionpacket

BPQ(2303)

G8BPQAX.25EthernetPacket

IEEEPUP(2560)

XeroxIEEE802.3PUPpacket

IEEEPUPAT(2561)

XeroxIEEE802.3PUPAddrTranspacket

DEC(24576)

DECAssignedproto

DNA_DL(24577)

DECDNADump/Load

DNA_RC(24578)

DECDNARemoteConsole

HDLC(25)

HDLCframes

LAT(24580)

DECLAT

DIAG(24581)

DECDiagnostics

CUST(24582)