安氏 防火墙 策略配置 linktrust

策略配置
策略配置概述
策略配置是LinkTrust CyberWall实施访问控制的最重要和最关键的部分，在此用户可以根据需要定义防火墙所在网络中的各种资源的访问控制，在这些策略中用到的资源就是在网络配置中定义的各种对象。

对流经防火墙的数据，它会按照用户在此定义的各策略规则进行匹配检查。

每条策略规则包含一个唯一标识的策略规则序号、防火墙用于匹配数据包的各项属性 (如：源网络、目的网络、服务，多端口防火墙还涉及网络对象所属的安全域及接口)、防火墙对匹配数据包的访问控制属性（如：通过、拒绝、授权动作以及本地认证方式的选择）、时间控制属性、入侵检测属性、防火墙自身行为的属性（如：记录、不记录）、对此规则的使能属性，即定义了该策略规则后，可以通过禁止选项，使该规则不生效。

还可定制是否启用anti-synflood和流探测功能。

对所有策略规则可以进行的操作包括查看、新增、删除和修改。

有一种特殊的策略规则就是阻止主机，该规则是指设置防火墙禁止某主机通过。

LinkTrust CyberWall的IDS互动是指当IDS到在防火墙上设置阻断规则的时候，防火墙可以动态的阻断符合当前规则的已经建立的连接。

带宽管理与防火墙有效地结合，保证了系统即使在网络繁忙时也可正常工作运行。

带宽包括带宽规则的配置和带宽监控。

策略配置
从策略主菜单进入策略配置界面。

浏览
在主菜单的策略中点击浏览，即可进行策略规则的浏览。

这与在主菜单直接点击策略的缺省显示是相同的。

有以下浏览功能：
∙分区浏览功能：浏览界面是按untrust, trust, dmz或其它自定义的安全域分区显示策略规则的。

∙分页浏览功能：在此浏览界面中可以点击中的数字页面进行浏览。

∙翻页浏览功能：在此浏览界面中可以点击或进行前后翻页浏览。

∙全部显示功能：点击时，此时的显示不分页，在一个屏内显示所在区的所有策略规则。

∙查看策略的入侵检测情况：某条策略的三个入侵检测选项定制与否，可以直接从浏览界面的“入侵检测”一栏不同颜色的图标查看，依次代表IDS、流探测、
anti-synflood。

灰色为关闭状态，如果处于启用状态，图标为激活状态；也可将鼠标
直接放在图标上查看。

∙查看策略的日志：可以通过点中“日志”一栏的图标（如果记录日志，则显示为），进入相应策略的日志界面查看。

新增
在浏览界面的左侧菜单中点击新增，进入新增策略规则界面。

当选择ping服务时，界面上会增加是否使用ICMP代理的选项。

∙序号
输入新增策略规则的序号，序号为数字。

若该数字与已定义的规则序号有重复，则防火墙会自动将原策略规则以及序号排在其后的所有规则自动后移一个数字，将新增策略规则的序号设为输入的序号。

若不输入序号，自动将该规则的序号置为0，即为首条策略规则。

∙是否启用
选择启用或不启用，表示新增该策略规则后，是否生效，即是否防火墙按此规则进行访问控制。

∙源网络
由于多端口概念的引入，对于网络对象，必须指定该对象所属的安全域和接口。

该三个下拉列表中依次列出已经定义的安全域、接口、网络对象（包括组对象）。

在此为新增的策略规则选择要进行匹配的源网络的安全域、接口和网络对象。

∙目的网络
同理，在目的网络的三个下拉列表中依次列出已经定义的安全域、接口、网络对象（包括组对象）。

在此为新增的策略规则选择要进行匹配的目的网络的安全域、接口及网络对象。

∙服务
该下拉列表中列出在主菜单的服务中定义的所有服务。

在此为新增的策略规则选择要进行匹配的服务。

∙动作
这里的动作是指防火墙对匹配了上述属性的数据包采取何种访问控制。

通过：防火墙允许匹配该规则的数据包通过。

拒绝: 防火墙禁止匹配该规则的数据包通过。

授权：防火墙对于匹配了该规则的数据包进行认证检查。

认证方式：
1）如果用户在认证方式（详见认证方式部分）中选择的是本地认证，此时界面上显示的认证方式是本地认证，还需要在本地认证下拉列表中选择要采用的某一授权规则。

（对于此授权规则适用的用户若经过主动认证，并在认证的有效期内，则防火墙允许匹配了该策略规则的数据包通过，否则禁止通过。

）
2）如果用户在认证方式中选择的是Radius或MSNT远程认证，则此时也会在界面上显示出来。

∙时间
从时间下拉列表中选择某一时间规则，策略将在该时间规则定义的时间段内生效，在该时间规则定义的时间段外，策略无效。

（详见时间对象）
∙拒绝时发送
当上述动作属性选择了拒绝时，即对匹配了规则的数据包采取拒绝的访问控制时，对该数据包采取何种处理。

∙None:不发送任何数据包。

∙TCP Reset：发送TCP Reset数据包(针对匹配了的TCP包起作用)。

∙ICMP：对匹配了的UDP数据包，发送ICMP包，还可以选择ICMP包的TYPE 3 的CODE，如下表所述：
当上述动作属性选择了通过或授权时，这里的三个选项都不起作用。

∙记录日志
选择对新增策略规则在防火墙匹配时，是否进行日志记录。

∙入侵检测
对该新增策略规则在防火墙匹配该规则时，选择是否将该数据流复制到防火墙的IDS端口。

∙anti-synflood
除系统中所述的抗DoS选项外，防火墙还支持TCP协议策略级的anti-synflood功能。

在新增策略规则时，可定制是否启用anti-synflood模块。

∙流探测
在新增策略规则时，可定制是否启用流探测模块。

关于此模块的详细描述，参见流探测部分的描述。

输入完上述内容后，按 [确定] 按钮，返回策略规则浏览界面，可以看到新增的策略规则，表明成功加入了新规则。

按[退出]按钮，返回策略规则浏览界面,取消已进行的新增操作。

说明：目前支持的最多策略数可达4096条。

修改
在上述浏览界面上，查找要修改的策略规则，在该策略规则所在行的右边数第二列的上点击，进入修改界面后，用户可根据需要在各属性上进行修改。

然后按 [确定] 按钮，返回策略规则浏览界面，可以看到被修改的内容，表明成功修改了该策略规则。

若按[退出]按钮，返回策略规则浏览界面，取消已进行的修改操作。

删除
在上述浏览的界面上，查找要删除的策略规则，在该策略规则所在行的最右边一列的上点击，出现策略删除确认示意图后，按 [确定] 按钮，确认删除该策略规则；按 [取消] 按钮，取消删除操作。

然后返回策略规则浏览界面。

移动
当用户需要调整策略规则的先后顺序时，在上述浏览的界面上，查找要进行调整的策略规则，在该策略规则所在行的右数第三列的上点击，出现策略移动配置示意图（图略）。

其中，原序号为要调整序号的策略规则的原序号，在移动到的地方输入要移动到哪个序号，例如：原序号为1的策略规则要调整到3。

按 [确定] 按钮，返回策略规则浏览界面，则显示要调整的策略规则的序号已由1变为3，原来为3，以及3到1之间的所有策略规则（这里是2和原3）,向前顺移一个序号。

阻止主机
目前有两种阻止主机模式，即永久阻止和IDS互动。

永久阻止，可以将某些禁止通过防火墙的主机地址永远拒之门外，直至管理员删除该记录。

IDS互动，是指当IDS在检测到符合检测规则的异常情况时，会通知防火墙设置阻断规则，使防火墙根据异常数据的源地址、源端口、目的地址、目的端口动态阻断异常的连接。

浏览
在主菜单的策略中点击阻止主机，即可进行所有禁止通过防火墙的永久阻止主机清单的浏览。

阻止主机策略浏览界面分上下两部分，上部分是浏览显示功能，有以下浏览功能：∙分页浏览功能：在此浏览界面中可以点击中的数字页面进行浏览。

∙翻页浏览功能：在此浏览界面中可以点击或进行前后翻页浏览。

∙全部显示功能：点击时，此时的显示不分页，在一个屏内显示所有的禁止通过防火墙的主机。

同理，在阻止主机浏览界面点击右上角的，即可进行IDS互动阻止主机的浏览。

∙IP地址1与IP地址2为建立通信的地址对儿。

∙端口1、端口2分别为与IP地址1、IP地址2对应的端口。

∙阻止时间：防火墙阻止主机的时间（单位：秒），系统默认的阻止时间为300秒。

[刷新]：按此按钮将更新当前IDS互动模块的阻止主机信息，当阻止时间为0秒时，自动清除此项记录。

[全部清除]：按此按钮将全部清除当前IDS互动列表中的所有项。

新增
在阻止主机策略浏览界面中的下半部分是新增配置界面。

∙IP 地址
输入新增的要阻止的主机的IP 地址，IP 地址由 32 位组成，用三个小数点分开，输入方法，
如：
C 类网络地址：203.233.21.0
C 类主机地址：203.233.21.17
在此输入的地址一定是已分配好的网络或主机地址，而且既可以是内网地址，也可以是外网地址。

∙子网掩码
子网掩码与IP地址配合，其格式既可以用三个小数点分开的32位子网掩码，也可以用位掩码表示。

使用子网掩码可使您确定相关的系统是网络或主机。

参考下表所述的子网掩码与位掩码的对应关系：
在这里输入的格式为位掩码。

∙说明
输入关于新增的要阻止的主机的简要说明或关键字，最大长度为127个字符。

填写完上述内容后，点击[确定]，在该界面的上半部分的列表中会显示出新增的记录，标明新增操作成功。

删除
在上述界面的浏览部分，查找要删除的被阻止的主机，在该对象所在行的左数第一列的上点击，出现阻止主机策略删除确认示意图后，按 [确定] 按钮，确认删除该主机记录；按 [取消] 按钮，取消删除操作。

然后返回阻止主机的浏览界面。

带宽管理
带宽管理与防火墙有效地结合在一起，为用户保证网络安全的同时，也防止了某些用户或通讯大量占用带宽，既能避免造成网络阻塞甚至瘫痪，又能保证系统即使在网络繁忙时也可以正常工作。

通过带宽管理，可以为某些特定IP或端口限制或借用带宽；可以使某些用户优先占用带宽；可以进行带宽监控等。

带宽管理包括带宽监控和配置，配置包括：全局设置、带宽对象、带宽策略。

全局设置
在主菜单的策略中点击带宽管理，进入带宽策略配置及浏览界面，点击界面左上角的“全局设置”，进入带宽管理全局设置界面(图略)，各项含义如下：
是否启用：选中启用单选框，激活启用全局设置功能，使带宽管理功能生效。

网卡带宽设置：包括防火墙的各网卡（及地址）：if0，if1,if2,(分别指外、内、DMZ）。

在带宽输入框中可自定义输入相应的带宽值（默认单位：bps，也可指定其它单位，如M、m，K、k），但输入的值不能大于网卡本身的最大带宽值。

自动检测：按[自动检测] 按钮，系统可以自动检测出相应网卡的最大带宽值并赋值到相应的带宽输入框中。

可以通过此方法查看网卡最大带宽值，为实际配置提供参照。

按[确定]，将信息保存到内存中，保存并应用后，设置生效。

按[取消]，取消当前操作，恢复到界面的初始状态。

带宽对象
在带宽管理界面中，点击界面上部的“带宽对象”，进入带宽对象浏览界面（图略）
浏览
∙分页浏览功能：在此浏览界面中可以点击中的数字页面进行浏览。

∙翻页浏览功能：在此浏览界面中可以点击或进行前后翻页浏览。

∙全部显示功能：点击[全部]按钮时，在一个屏内显示当前网卡的全部带宽对象。

∙不同网卡带宽对象浏览功能：通过点选浏览界面右上部的“if0、if1、if2”浏览相应的带宽对象，通过点选“全部网卡”，浏览全部网卡的带宽对象。

∙剩余带宽值浏览功能：浏览页面右下角显示的是目前此网卡的剩余带宽值。

新增
在带宽对象浏览界面的下方，点击 [新增] 按钮，进入带宽对象新增界面（图略）。

各项含义如
下：
∙带宽对象名称：填写带宽对象名称，是任意有效字符串，用来标识此带宽对象，在同一网卡中，带宽对象名称是唯一的。

∙网卡：从下拉列表中选择一个要配置带宽对象的网卡：if0、if1、if2。

∙出口带宽：有两种方法：点选百分号前边的单选按钮，只能输入占总带宽的百分数；点选bps前边的单选按钮，只能输入占总带宽的多少bps。

∙带宽选项：选择借用或限制。

借用是指分配给此对象的带宽值不小于输入的带宽值；限制是指分配给此对象的带宽值不大于输入的带宽值。

∙优先级：当多个带宽对象都要分配时，可通过给予不同带宽对象不同的优先级实现，优先级高的优先分配接口带宽。

优先级分8级，从0到7，默认是1级。

∙说明：输入描述性文字。

按[确定]，将信息保存到内存中，保存并应用后，设置生效。

按[取消]，取消操作回到上一界面。

修改
在上述浏览界面查找要修改的带宽对象，在该对象所在行的左边上点击，进入修改界面进行修改。

各项含义见上新增。

删除
在上述浏览界面上，查找要删除的带宽对象，在该对象所在行的左边上点击，完成删除。

带宽策略
在主菜单策略中点击带宽管理，进入默认的带宽策略配置及浏览界面(图略)。

浏览
∙分页浏览功能：在此浏览界面中可以点击中的数字页面进行浏览。

∙翻页浏览功能：在此浏览界面中可以点击或进行前后翻页浏览。

∙全部显示功能：点击[全部]时，显示不分页，在一个屏内显示所有带宽对象。

新增
在带宽策略浏览界面的下方，点击 [新增] 按钮，进入带宽策略新增界面（图略），各项含义如下：
∙是否启用：可定制此条带宽策略是否启用，即是否使之生效。

∙源/目的网络对象：从下拉列表中选择源或目的网络对象，是指此带宽策略在从哪个源网络对象（IP）到哪个目的网络对象（IP）起作用，两个网络对象不能在
同一网段内。

∙协议：包括ANY、ANYTCP、ANYUDP、TCP、UDP、IP、ICMP。

∙协议号：选择IP协议时要输入协议号，缺省为ANY；当选择TCP或UDP协议时，需输入源端口和目的端口，若不输入，缺省是0。

协议与协议号的对应表如下：
∙方向：有UP和DOWN两个方向，可以全选，可以单选，不允许全不选，当选择UP 方向时，要选择后面的带宽对象，此带宽对象所在网卡IP和目的网络对象的IP
在同一网段内，指明此策略从源网络对象到目的网络对象生效；当选择DOWN方
向时，指此策略从目的网络对象到源网络对象生效。

按[确定]，将信息保存到内存中，保存并应用后，设置生效。

按[取消]，取消操作回到上一界面。

修改
在上述浏览界面上，在要修改的带宽策略所在行的左边上点击，直接进入修改界面进行修改。

删除
在上述浏览界面上，查找要删除的带宽策略，在该对象所在行的左边上点击，完成删除。

带宽监控
在带宽管理界面中，点击界面右上部的“带宽监控”，进入带宽监控配置界面（图略），各项含义如下：
∙网卡：从下拉列表中选择一个网卡，默认的选项是外网卡
∙带宽对象：从列表中选择要进行带宽监控的对象
∙刷新间隔：设置带宽监控刷新间隔时间，默认值为5秒
确定后，弹出一个新窗口，按设定的刷新间隔时间显示监控信息：网口名称（或对象名称），标定流速，发送数据包数，丢弃数据包数，优先级，量度流速，量度流速，丢弃字节数，溢出次数。

可通过查看监控信息进行带宽监控。

关于带宽管理的配置用例，请参见《LinkTrust CyberWall 领信防火墙基本功能用户指南》第8章策略配置。

与LinkTrust IDS互操作
LinkTrust CyberWall支持与LinkTrust IDS互操作，在LinkTrust IDS所在的主机上安装IDS 互操作插件，然后配置响应文件，在LinkTrust CyberWall 和LinkTrust IDS端做相应的配置，就可以实现互动。

具体配置操作见《LinkTrust CyberWall领信防火墙与IDS互操作插件用户指南》。

与RealSecure互操作
LinkTrust CyberWall支持两种形式与RealSecure的互操作，其一是流量镜像方式，参见“策略新增”一节的“入侵检测”；其二是专门的软件应用方式。

要实现该功能，请参照以下步骤：
1．首先在RealSecure Sensor端安装IDS互操作插件。

在事件的响应机制中，配置与LinkTrust CyberWall互操作的响应文件，根据配置的传送参数（四个参数，即源/目的IP和源/目的端口中的任意组合），LinkTrust CyberWall进行事件的封堵。

2．然后在RealSecure上对某些事件的响应进行配置时就可以选择与LinkTrust CyberWall互操作功能的上述配置进行响应设置。

3．当该事件发生时，RealSecure sensor根据与LinkTrust CyberWall互操作的设置，利用sensor 上安装的IDS互操作插件，请求LinkTrust CyberWall阻止某主机地址。

4．LinkTrust CyberWall接到该请求后，在IDS互动屏幕中就会将检测到的IP地址、端口及阻止时间显示出来。

互动界面（略）
[刷新]：按此按钮将更新当前IDS互动模块的阻止主机信息，当阻止时间为0秒时，自动清除此项记录。

[全部清除]：按此按钮将全部清除当前IDS互动列表中的所有项。

系统默认的阻止时间为300秒。

具体详细的配置步骤，详见《LinkTrust CyberWall领信防火墙与IDS互操作插件用户指南》
保存
上述策略配置界面中进行的各项配置操作，均为临时的，要永久保存在配置文件中时，必须点击保存，如果不保存，防火墙关机时，以上的所有配置改动将丢失。

应用
要让所做的修改立即生效时，请按子菜单上的应用。