返回
安氏防火墙策略配置linktrust

安氏防火墙策略配置linktrust

ID:32755200

大小:71.05 KB

页数:13页

时间:2019-02-15

安氏防火墙策略配置linktrust_第1页
安氏防火墙策略配置linktrust_第2页
安氏防火墙策略配置linktrust_第3页
安氏防火墙策略配置linktrust_第4页
安氏防火墙策略配置linktrust_第5页
资源描述:

《安氏防火墙策略配置linktrust》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、策略配置策略配置概述策略配置是LinkTrustCyberWall实施访问控制的最重耍和最关键的部分,在此用户可以根据需要定义防火墙所在网络中的各种资源的访问控制,在这些策略中用到的资源就是在网络配置中定义的各种对象。对流经防火墙的数据,它会按照用户在此定义的各策略规则进行匹配检查。每条策略规则包含一个唯一标识的策略规则序号、防火墙用于匹配数据包的各项属性(如:源网络、目的网络、服务,多端口防火墙还涉及网络对象所属的安全域及接口)、防火墙对匹配数据包的访问控制属性(如:通过、拒绝、授权动作以及本地认证方式的选择)

2、、时间控制属性、入侵检测属性、防火墙自身行为的属性(如:记录、不记录)、对此规则的使能属性,即定义了该策略规则后,可以通过禁止选项,使该规则不生效。还可定制是否启用anti-synflood和流探测功能。对所有策略规则可以进行的操作包括查看、新增.剧除和修改。有一种特殊的策略规则就是阻止主机,该规则是指设置防火墙禁止某主机通过。LinkTrustCyberWall的IDS互动是指当IDS到在防火墙上设置阻断规则的时候,防火墙可以动态的阻断符合当前规则的已经建立的连接。带宽管理与防火墙有效地结合,保证了系统即使在网

3、络繁忙时也可止常工作运行。带宽包括带宽规则的配置和带宽监控。策略配置从珈主菜单进入策略配置界面。浏览在主菜单的超中点击闽览,即可进行策略规则的浏览。这与在主菜单直接点击叙:的缺省显示是相同的。有以下浏览功能:•分区浏览功能:浏览界面是按untrust,trust,dmz或其它自定义的安全域分区显示策略规则的。•分页浏览功能:在此浏览界面中可以点击中的数字页面进行浏览。•翻页浏览功能:在此浏览界面中可以点击或进行前后翻页浏览。•全部显示功能:点击时,此时的显示不分页,在一个屏内显示所在区的所有策略规则。•查看策略的

4、入侵检测情况:某条策略的三个入侵检测选项定制与否,可以直接从浏览界面的“入侵检测”一栏不同颜色的图标查看,依次代表IDS、流探测、anti-synfloodo灰色为关闭状态,如果处于启用状态,图标为激活状态;也可将鼠标直接放在图标上查看。•查看策略的日志:可以通过点中“FI志”一栏的图标(如果记录FI志,则显示为),进入相应策略的日志界面查看。新增在浏览界面的左侧菜单中点击新增,进入新增策略规则界面。当选择ping服务时,界面上会增加是否使用ICMP代理的选项。•序号输入新增策略规则的序号,序号为数字。若该数字与

5、已定义的规则序号有重复,则防火墙会自动将原策略规则以及序号排在其后的所有规则自动后移一个数字,将新增策略规则的序号设为输入的序号。若不输入序号,口动将该规则的序号置为0,即为首条策略规则。•是否启用选择启用或不启用,表示新增该策略规则后,是否生效,即是否防火墙按此规则进行访问控制。•源网络山于多端口概念的引入,对于网络对象,必须指定该対象所属的安全域和接口。该三个下拉列表中依次列出已经定义的安全域、接口、网络对象(包括组对象)。在此为新增的策略规则选择要进行匹配的源网络的安全域、接口和网络对象。•目的网络同理,在

6、目的网络的三个下拉列表屮依次列出己经定义的安全域、接口、网络对彖(包括组对彖)。在此为新增的策略规则选择要进行兀配的冃的网络的安全域、接口及网络对象。•服务该下拉列表中列出在主菜单的舷中定义的所有服务。在此为新增的策略规则选择要进行匹配的服务。•动作这里的动作是指防火墙对匹配了上述属性的数据包采取何种访问控制。通过:防火墙允许匹配该规则的数据包通过。拒绝:防火墙禁止匹配该规则的数据包通过。授权:防火墙对于兀配了该规则的数据包进行认证检查。认证方式:1)如果用户在认证方式(详见认证方式部分)中选择的是本地认证,此时

7、界面上显示的认证方式是本地认证,还需要在本地认证下拉列表屮选择要采用的某一授权规则。(对于此授权规则适用的用户若经过主动认证,并在认证的有效期内,则防火墙允许匹配了该策略规则的数据包通过,否则禁止通过。)2)如果用户在认证方式中选择的是Radius或MSNT远程认证,则此时也会在界面上显示出来。•时间从时间下拉列表中选择某一时间规则,策略将在该时间规则定义的时间段内生效,在该时间规则定义的时间段外,策略无效。(详见时间对象)拒绝时发送当上述动作属性选择了拒绝时,即对I兀配了规则的数据包采取拒绝的访问控制时,对该数

8、据包采取何种处理。•None:不发送任何数据包。•TCPReset:发送TCPReset数据包(针对匹配了的TCP包起作用)。•ICMP:对匹配了的UDP数据包,发送ICMP包,还可以选择ICMP包的TYPE3的CODE,如下表所述:名称代码含义ICMPUNREACHNET0NetunreachableICMPJJNREACHHOST1HostUnreachableICM

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。