中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價(jià)格計(jì)算器

您當(dāng)前位置：主頁 > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >

網(wǎng)絡(luò)運(yùn)維|防火墻轉(zhuǎn)發(fā)策略

2020-05-25 20:45 作者：艾銻無限瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，在web頁面下做防火墻的轉(zhuǎn)發(fā)策略。簡單網(wǎng)絡(luò)安全運(yùn)維，從Web管理輕松學(xué)習(xí),一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。

1. 轉(zhuǎn)發(fā)策略

轉(zhuǎn)發(fā)策略作為一種網(wǎng)絡(luò)安全保護(hù)機(jī)制，主要用于對網(wǎng)絡(luò)中各種不同的流量是否轉(zhuǎn)發(fā)做一個(gè)最基本的控制。

新建轉(zhuǎn)發(fā)策略

轉(zhuǎn)發(fā)策略在匹配流量時(shí)，除了“源安全區(qū)域”、“目的安全區(qū)域”和“動作”外，其他各種匹配條件均為可選配置。如果配置，則滿足所配置的條件的流量才會匹配成功。如果不配置，則不對這個(gè)匹配條件進(jìn)行要求。如果所有條件均不配置，相當(dāng)于匹配所有流量。所有匹配條件中，源IP地址和源MAC地址屬于同一類匹配條件，若同時(shí)配置，流量只要命中其中一個(gè)就能滿足這類匹配條件。同理，目的IP地址和目的MAC地址也屬于同一類匹配條件。

如果一個(gè)域間配置了多條轉(zhuǎn)發(fā)策略，則按照轉(zhuǎn)發(fā)策略的優(yōu)先級按順序進(jìn)行匹配。只要匹配到一條轉(zhuǎn)發(fā)策略就不再繼續(xù)匹配剩下的轉(zhuǎn)發(fā)策略。缺省情況下，越先配置的轉(zhuǎn)發(fā)策略優(yōu)先級越高，但是也可以通過手工調(diào)整轉(zhuǎn)發(fā)策略之間的優(yōu)先級，具體請參見移動轉(zhuǎn)發(fā)策略。

在匹配流量時(shí)各種匹配條件如果需要引用其他資源，例如時(shí)間段、地址集、服務(wù)集、IPS策略、AV策略、Web過濾策略、郵件過濾策略、FTP過濾策略、應(yīng)用控制策略等，需要提前創(chuàng)建好才可在策略中引用。

1. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

2. 在“轉(zhuǎn)發(fā)策略列表”中，單擊“新建”。

3. 依次輸入或選擇各項(xiàng)參數(shù)，如表7-3所示。

4. 單擊“應(yīng)用”。

界面中顯示新建的轉(zhuǎn)發(fā)策略，則表明操作成功。

表新建轉(zhuǎn)發(fā)策略參數(shù)說明

啟用轉(zhuǎn)發(fā)策略

新建轉(zhuǎn)發(fā)策略后，策略處于啟用狀態(tài)。禁用轉(zhuǎn)發(fā)策略后，策略將不起作用。

1. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

2. 在“轉(zhuǎn)發(fā)策略列表”中，選中某一轉(zhuǎn)發(fā)策略的“啟用”列的復(fù)選框，啟用該轉(zhuǎn)發(fā)策略。

取消選中復(fù)選框，禁用該轉(zhuǎn)發(fā)策略。

修改轉(zhuǎn)發(fā)策略

1. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
2. 在“轉(zhuǎn)發(fā)策略列表”中，單擊需要修改的轉(zhuǎn)發(fā)策略所在行的。

3. 重新輸入或選擇各項(xiàng)參數(shù)，如表7-3所示。其中“源安全區(qū)域”和“目的安全區(qū)域”不可修改。

4. 單擊“應(yīng)用”。

修改默認(rèn)轉(zhuǎn)發(fā)策略

默認(rèn)轉(zhuǎn)發(fā)策略是各個(gè)安全區(qū)域間默認(rèn)存在的轉(zhuǎn)發(fā)策略，只控制是否允許安全區(qū)域間報(bào)文的轉(zhuǎn)發(fā)。

默認(rèn)轉(zhuǎn)發(fā)策略不能新建和刪除，而且優(yōu)先級永遠(yuǎn)處于最低。

1. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

2. 在“轉(zhuǎn)發(fā)策略列表”中，單擊安全區(qū)域間“ID”為“默認(rèn)”的轉(zhuǎn)發(fā)策略所在行的。

3. 在“修改轉(zhuǎn)發(fā)策略”中，選擇默認(rèn)轉(zhuǎn)發(fā)策略的“動作”，如表7-3所示。

4. 單擊“應(yīng)用”。

復(fù)制轉(zhuǎn)發(fā)策略

復(fù)制轉(zhuǎn)發(fā)策略時(shí)，用戶可以對原有策略進(jìn)行微調(diào)，從而形成新的轉(zhuǎn)發(fā)策略。新的轉(zhuǎn)發(fā)策略編號在現(xiàn)有策略最大編號的基礎(chǔ)上遞增。

當(dāng)需要配置多條相似的轉(zhuǎn)發(fā)策略時(shí)，可以反復(fù)執(zhí)行以下操作。

1. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

2. 在“轉(zhuǎn)發(fā)策略列表”中，單擊需要復(fù)制的轉(zhuǎn)發(fā)策略所在行的。

3. 重新輸入或選擇各項(xiàng)參數(shù)，如表7-3所示。其中“源安全區(qū)域”和“目的安全區(qū)域”不可修改。

4. 單擊“應(yīng)用”。

移動轉(zhuǎn)發(fā)策略

移動轉(zhuǎn)發(fā)策略可以在安全區(qū)域間調(diào)整轉(zhuǎn)發(fā)策略的位置，從而改變轉(zhuǎn)發(fā)策略的匹配順序。位置越高的轉(zhuǎn)發(fā)策略優(yōu)先級越高，越優(yōu)先進(jìn)行匹配。

1. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
2. 在“轉(zhuǎn)發(fā)策略列表”中，單擊需要移動的轉(zhuǎn)發(fā)策略所在行的。

3. 依次輸入或選擇各項(xiàng)參數(shù)，如表7-4所示。

4. 單擊“確定”。

轉(zhuǎn)發(fā)策略移動到相應(yīng)位置，則表明操作成功。

表7-4 移動轉(zhuǎn)發(fā)策略參數(shù)說明

插入轉(zhuǎn)發(fā)策略

1. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。
2. 在“轉(zhuǎn)發(fā)策略列表”中，單擊已創(chuàng)建轉(zhuǎn)發(fā)策略所在行的

，為當(dāng)前策略對應(yīng)的安全域間增加一條策略，新增策略插入到當(dāng)前策略之前。

3. 重新輸入或選擇各項(xiàng)參數(shù)，如表7-3所示。其中“源安全區(qū)域”和“目的安全區(qū)域”不可修改。

4. 單擊“應(yīng)用”。

新建轉(zhuǎn)發(fā)策略分組

新建轉(zhuǎn)發(fā)策略分組時(shí)，從該策略組起始策略起至下一個(gè)策略組的起始策略前的所有策略均屬于該策略組。若該策略組后沒有配置其他策略組，那么從該策略組的起始策略起的所有策略均屬于該策略組。

刪除已配置的策略組時(shí)，需確定是否同時(shí)刪除策略組中的所有成員策略。若不刪除，所有成員策略歸屬于該策略組的前一個(gè)策略組；當(dāng)被刪除策略組前無策略組時(shí)，所有成員策略不屬于任何策略組。

1. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

2. 單擊要指定為策略組起始策略的轉(zhuǎn)發(fā)策略ID前的復(fù)選框。

3. 在“轉(zhuǎn)發(fā)策略列表”中，單擊“添加組”。

4. 輸入“組名”。

5. 單擊“確定”。

查詢轉(zhuǎn)發(fā)策略

1. 選擇“防火墻 > 安全策略 > 轉(zhuǎn)發(fā)策略”。

2. 使用以下兩種方式的一種來查詢轉(zhuǎn)發(fā)策略：

· 普通查詢

在“轉(zhuǎn)發(fā)策略列表”表頭的下拉框中選擇安全區(qū)域，單擊“查詢”。

· 高級查詢

a. 在“轉(zhuǎn)發(fā)策略列表”表頭的下拉框中選擇安全區(qū)域，單擊“高級查詢”。

b. 輸入查詢條件，如表7-3所示。

c. 單擊“確定”。