安全规则包过滤界面
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Hale Waihona Puke Baidu安全规则界面
管理员登录安全卫士配置管理界面后,进入“ 管理员登录安全卫士配置管理界面后,进入“安全策 略→安全规则”界面,如下图 安全规则”
• 序号 对管理员增加的全部规则按序排列。 • 访问控制 安全卫士规则的访问控制类型,分为包过滤和 透明代理两种。 • 源地址 网络访问的发起的源IP 网络访问的发起的源IP 地址或网段。 • 宿地址 被访问的IP 被访问的IP 地址或网段。
• 协议 指TCP、UDP、OSPF、EGP、IGMP、GGP 等 TCP、UDP、OSPF、EGP、IGMP、 TCP/IP 协议。 • 服务 指明网络服务的端口,可以是一个端口数字或 范围。如果是端口范围,必须用英文冒号来分 隔起始端口和终止端口。
• 策略 指对匹配该规则的数据包要采取的策略,包括 允许、NAT 允许、NAT 或禁止 • 允许:表示允许数据包通过,且不做网络地址 转换。 • NAT:表示允许数据包通过,且做网络地址转 NAT:表示允许数据包通过,且做网络地址转 换。 • 禁止:表示禁止数据包通过。
• 禁用规则检查 • 安全卫士缺省启用规则检查,系统自动 对安全卫士管理员定义的安全规则进行 检测,对矛盾或重复的安全规则给出调 整提示。选中表示禁用安全卫士对过滤 规则的一致性检查。
• 允许非TCP/IP 协议 允许非TCP/IP • 安全卫士允许IPX/NetBIOS 安全卫士允许IPX/NetBIOS 等非 TCP/IP 协议包通过。 • 注意:如果网络使用的是TCP/IP 协议来 注意:如果网络使用的是TCP/IP 支持NetBIOS 支持NetBIOS 协议,只需要制定相应的 安全规则 (放开137、138 的UDP 端口 (放开137、 和139 的TCP 端口)就能保证网络邻居 的正常使用。
• 用户认证 在启用包过滤或代理时需要进行用户身 份认证。“认证” 份认证。“认证”表示对规则中指明的 客户机进行用户认证。空表示不做用户 认证。 • 时间控制 指明该条规则生效的时间范围。 • 流量控制 指明是否对该条规则启用流量控制。
• 添加 增加一条安全规则。选中某一条规则后点“ 增加一条安全规则。选中某一条规则后点“添加 ”按钮,会在此规则前增加一条新规则。不选 任何规则,则会在全部规则的最后加入一条新 规则。 • 编辑 • 删除 • 规则生效 • 清空当前全部安全规则。
下面将对包过滤规则的协议类型编辑功能 和ICMP 协议的细粒度过滤进行介绍。
• 应用协议: 在“添加包 过滤规则界 面”中单击 “应用协议 ”超链接进 入“应用协 议表” 议表”界面 ,如下图所 示。
• 应用协议名 应用协议的名称,字母和数字组成,以字母开 始,如ftp。 始,如ftp。 • 协议类型 承载该应用协议的TCP/IP 承载该应用协议的TCP/IP 协议类型,从下拉 框里选择,如TCP。 框里选择,如TCP。 • 端口号 该协议的端口号。 • 添加 将在文本编辑框内输入的有效协议名和协议类 型、端口号,加入到列表中。 • 删除 将单选框选中的应用协议从列表中删除。
通用协议
• 在“添加 包过滤规 则界面” 则界面” 中单击“ 中单击“ 通用协议 ”超链接 进入“ 进入“通 用协议表 ”界面, 如下图所 示。
• 协议名 协议名称,字母和数字组成,以字母开 始。 • 协议号 协议编号,范围0 255。用户可以从附 协议编号,范围0~255。用户可以从附 录中查找要增加的协议名和协议号。 • 添加 将在文本编辑框内输入的有效协议名和 协议号,加入到列表中。 • 删除 将单选框选中的协议、协议号从列表中 删除。
包过滤对ICMP 协议的细粒度过滤
• 安全卫士的包过滤服务可针对ICMP 安全卫士的包过滤服务可针对ICMP 报文的类型(type)和代码(code)进 报文的类型(type)和代码(code)进 行详细过滤。 当类型(type)选择ANY 当类型(type)选择ANY 时,表示对 ICMP 所有类型进行包过滤。见下图:
• 记录包过滤日志 选中后,安全卫士将记录包过滤日志。 • 支持802.1Q 协议的NAT 支持802.1Q 协议的NAT 支持802.1Q 协议的VLAN 支持802.1Q 协议的VLAN 伪装模式。
添加包过滤规则
• 此处可以选择增加的规则类型,包括包过滤 和透明代理,选择包过滤,点确定按钮进入 包过滤规则配置界面。
• 控制策略 指对匹配该规则的数据包要采取的策略,包括 允许和禁止。 • 注意: 允许:表示允许数据包通过,且不做网络地址 转换。 禁止:表示禁止数据包通过。 若要采用NAT 若要采用NAT 策略则必须采取允许策略,同时 启用源地址映射。 禁止策略下,启用源地址映射无效。
• 启用用户认证 选中后,本规则仅对通过认证的用户有 效;否则,对所有用户都有效。 • 时间控制 用户可以在下拉框中选择定义好的时间 段,选中后,则该条包过滤规则只有在 该时间段中才生效。点击“时间定义” 该时间段中才生效。点击“时间定义” ,可以链接到时间定义页面,自定义所 需的时间段。 • 启用流量控制 选中为启用流量控制,需要选择优先级 ,并指定保证带宽和最大带宽值。
• 注意:H.323 协议是为了实现在网上实 注意:H.323 现多媒体业务(如实时的语音、视频和 数据)而制定的通讯协议,实际应用如 微软的Netmeeting 微软的Netmeeting 视频会议系统等。 H.323 协议采用的是动态分配端口的技 术,因此如果安全卫士需要支持这种协 议的包过滤,在此处选择H.323协议。选 议的包过滤,在此处选择H.323协议。选 择H.323协议后,“宿端口”不用填写。 H.323协议后,“宿端口”
•
• 当代码(code)选择ANY 时,表示对此 当代码(code)选择ANY 类型下所有code 类型下所有code 的ICMP 报文进行包过 滤。 • 当类型和代码选择下拉框中的某一值, 表示对此种code 表示对此种code 的ICMP 报文进行包过 滤。见下图:
• ICMP 包过滤规则如果是类型为8(echo包过滤规则如果是类型为8(echorequest) 、13(timestamp-request) 、 13(timestamp17(address-mask-request),可不需要 17(address-mask-request),可不需要 下相应的应答规则,安全卫士可动态的 允许应答报文通过安全卫士。
• 优先级 具有较高优先级的流量首先通过;在物理设备 带宽分配完毕的情况下,低优先级的流量仅当 无更高优先级的流量时,才能通过。共有八个 优先级,其中1为最高优先级,8 优先级,其中1为最高优先级,8为最低优先级 。 • 保证带宽 该规则对应的连接所能够获得的最低带宽。连 接的实际带宽可能超过此带宽,单位为千比特 每秒 (kbps)。 (kbps)。 • 最大带宽 该规则对应的连接所能够获得的最大带宽。超 过该值的流量将被延迟或丢弃。带宽的单位为 千比特每秒 (kbps)。 (kbps)。 • 注意:最大带宽填写数字值,不超过物理设备 的实际最大带宽。
• 源地址 网络访问发起的源IP 网络访问发起的源IP 地址或网段或地址 组。用户有两种方式输入源地址,选择“IP地 组。用户有两种方式输入源地址,选择“IP地 址”,则可在后面的输入框中输入IP 地址, ,则可在后面的输入框中输入IP 并选择相应的掩码,不填内容则为任意。 选择“地址组” 选择“地址组”,如果你已经在地址分组 页面定义了地址组,则可在后面的下拉框中选 择已经定义好的地址组,如果地址组单选钮被 置灰,您需要在“地址分组” 置灰,您需要在“地址分组”页面定义地址组 ,方能使用该选项。
• 宿地址 被访问的IP 被访问的IP 地址或网段或地址组。用户 有两种方式输入宿地址,选择“ 有两种方式输入宿地址,选择“IP 地址 ”,则可在后面的输入框中输入IP 地址 ,则可在后面的输入框中输入IP ,并选择相应的掩码,不填内容则为任 意。选择“地址组” 意。选择“地址组”,如果你已经在地 址分组页面定义了地址组,则可在后面 的下拉框中选择已经定义好的地址组, 如果地址组单选钮被置灰,您需要在“ 如果地址组单选钮被置灰,您需要在“ 地址分组” 地址分组”页面定义地址组,方能使用 该选项。
添加透明代理规则
• 源地址 网络访问发起的源IP 网络访问发起的源IP 地址或网段或地址组。 用户有两种方式输入源地址,选择“IP地址” 用户有两种方式输入源地址,选择“IP地址” ,则可在后面的输入框中输入IP ,则可在后面的输入框中输入IP 地址,并选 择相应的掩码,不填内容则为任意。选择“ 择相应的掩码,不填内容则为任意。选择“地 址组” 址组”,如果你已经在地址分组页面定义了地 址组,则可在后面的下拉框中选择已经定义好 的地址组,如果地址组单选钮被置灰,您需要 在“地址分组”页面定义地址组,方能使用该 地址分组” 选项。
• 网络接口 与源地址相连接的网络接口。不选 择(即为空),表示不作限制。 • 宿端口 被访问的服务端口,可以是一个端 口范围(如1:1023 表示1 口范围(如1:1023 表示1 到1023 之间 所有的端口)。不填内容则为任意。
• 服务 安全卫士遵循的安全策略是“ 安全卫士遵循的安全策略是“没有明确允许的是禁止 的”,所以当用户希望非TCP、UDP、ICMP 的IP 协议 ,所以当用户希望非TCP、UDP、 通过安全卫士时,需要在安全策略中增加一条对该协 议的允许规则。缺省情况下安全卫士界面“ 议的允许规则。缺省情况下安全卫士界面“通用协议 ”只可以选择TCP、UDP、ICMP、AH、ESP、EGP、GGP、 只可以选择TCP、UDP、ICMP、AH、ESP、EGP、GGP、 GRE、IGMP、 GRE、IGMP、OSPFIGP 协议,“应用协议”只可以选择 协议,“应用协议” H.323、FTP、Oracle_TNS协议。如果用户需要安全卫 H.323、FTP、Oracle_TNS协议。如果用户需要安全卫 士允许其他类型的IP 协议数据包通过,需要点击“ 士允许其他类型的IP 协议数据包通过,需要点击“应 用协议” 用协议”或“通用协议”来增加协议类型,详细操作 通用协议” 将在本小节后续部分“通用协议” 将在本小节后续部分“通用协议”和“应用协议”中 应用协议” 进行说明。 安全卫士还支持对ICMP 协议的类型(type)和代码( 安全卫士还支持对ICMP 协议的类型(type)和代码( code)进行细粒度过滤。当用户选择ICMP code)进行细粒度过滤。当用户选择ICMP 协议时,包 过滤规则的设置界面将会弹出ICMP 过滤规则的设置界面将会弹出ICMP 协议的类型和代码 过滤参数设置。具体配置方法将在本小节后续部分进 行说明。
• 网络接口 与源地址相对应的网络接口。不选择(即为空)将表 示不作限制。 • 服务类型 包括HTTP、FTP、TELNET、 包括HTTP、FTP、TELNET、SOCKS 以及用户自定义的服 务。 • 用户认证 选择是否使用用户认证。 • 规则策略 允许或禁止该数据包通过安全卫士。 • 高级设置 针对FTP 代理禁止GET 命令或禁止PUT 针对FTP 代理禁止GET 命令或禁止PUT 命令;针对 SOCKS 代理的宿端口设置。 • 确定 制定透明代理规则完毕,返回上一界面。
• 宿地址 被访问的IP 被访问的IP 地址或网段或地址组。 用户有两种方式输入宿地址,选择“ 用户有两种方式输入宿地址,选择“IP 地址”,则可在后面的输入框中输入IP 地址”,则可在后面的输入框中输入IP 地址,并选择相应的掩码,不填内容则 为任意。选择“地址组” 为任意。选择“地址组”,如果你已经 在地址分组页面定义了地址组,则可在 后面的下拉框中选择已经定义好的地址 组,如果地址组单选钮被置灰,您需要 在“地址分组”页面定义地址组,方能 地址分组” 使用该选项。
管理员登录安全卫士配置管理界面后,进入“ 管理员登录安全卫士配置管理界面后,进入“安全策 略→安全规则”界面,如下图 安全规则”
• 序号 对管理员增加的全部规则按序排列。 • 访问控制 安全卫士规则的访问控制类型,分为包过滤和 透明代理两种。 • 源地址 网络访问的发起的源IP 网络访问的发起的源IP 地址或网段。 • 宿地址 被访问的IP 被访问的IP 地址或网段。
• 协议 指TCP、UDP、OSPF、EGP、IGMP、GGP 等 TCP、UDP、OSPF、EGP、IGMP、 TCP/IP 协议。 • 服务 指明网络服务的端口,可以是一个端口数字或 范围。如果是端口范围,必须用英文冒号来分 隔起始端口和终止端口。
• 策略 指对匹配该规则的数据包要采取的策略,包括 允许、NAT 允许、NAT 或禁止 • 允许:表示允许数据包通过,且不做网络地址 转换。 • NAT:表示允许数据包通过,且做网络地址转 NAT:表示允许数据包通过,且做网络地址转 换。 • 禁止:表示禁止数据包通过。
• 禁用规则检查 • 安全卫士缺省启用规则检查,系统自动 对安全卫士管理员定义的安全规则进行 检测,对矛盾或重复的安全规则给出调 整提示。选中表示禁用安全卫士对过滤 规则的一致性检查。
• 允许非TCP/IP 协议 允许非TCP/IP • 安全卫士允许IPX/NetBIOS 安全卫士允许IPX/NetBIOS 等非 TCP/IP 协议包通过。 • 注意:如果网络使用的是TCP/IP 协议来 注意:如果网络使用的是TCP/IP 支持NetBIOS 支持NetBIOS 协议,只需要制定相应的 安全规则 (放开137、138 的UDP 端口 (放开137、 和139 的TCP 端口)就能保证网络邻居 的正常使用。
• 用户认证 在启用包过滤或代理时需要进行用户身 份认证。“认证” 份认证。“认证”表示对规则中指明的 客户机进行用户认证。空表示不做用户 认证。 • 时间控制 指明该条规则生效的时间范围。 • 流量控制 指明是否对该条规则启用流量控制。
• 添加 增加一条安全规则。选中某一条规则后点“ 增加一条安全规则。选中某一条规则后点“添加 ”按钮,会在此规则前增加一条新规则。不选 任何规则,则会在全部规则的最后加入一条新 规则。 • 编辑 • 删除 • 规则生效 • 清空当前全部安全规则。
下面将对包过滤规则的协议类型编辑功能 和ICMP 协议的细粒度过滤进行介绍。
• 应用协议: 在“添加包 过滤规则界 面”中单击 “应用协议 ”超链接进 入“应用协 议表” 议表”界面 ,如下图所 示。
• 应用协议名 应用协议的名称,字母和数字组成,以字母开 始,如ftp。 始,如ftp。 • 协议类型 承载该应用协议的TCP/IP 承载该应用协议的TCP/IP 协议类型,从下拉 框里选择,如TCP。 框里选择,如TCP。 • 端口号 该协议的端口号。 • 添加 将在文本编辑框内输入的有效协议名和协议类 型、端口号,加入到列表中。 • 删除 将单选框选中的应用协议从列表中删除。
通用协议
• 在“添加 包过滤规 则界面” 则界面” 中单击“ 中单击“ 通用协议 ”超链接 进入“ 进入“通 用协议表 ”界面, 如下图所 示。
• 协议名 协议名称,字母和数字组成,以字母开 始。 • 协议号 协议编号,范围0 255。用户可以从附 协议编号,范围0~255。用户可以从附 录中查找要增加的协议名和协议号。 • 添加 将在文本编辑框内输入的有效协议名和 协议号,加入到列表中。 • 删除 将单选框选中的协议、协议号从列表中 删除。
包过滤对ICMP 协议的细粒度过滤
• 安全卫士的包过滤服务可针对ICMP 安全卫士的包过滤服务可针对ICMP 报文的类型(type)和代码(code)进 报文的类型(type)和代码(code)进 行详细过滤。 当类型(type)选择ANY 当类型(type)选择ANY 时,表示对 ICMP 所有类型进行包过滤。见下图:
• 记录包过滤日志 选中后,安全卫士将记录包过滤日志。 • 支持802.1Q 协议的NAT 支持802.1Q 协议的NAT 支持802.1Q 协议的VLAN 支持802.1Q 协议的VLAN 伪装模式。
添加包过滤规则
• 此处可以选择增加的规则类型,包括包过滤 和透明代理,选择包过滤,点确定按钮进入 包过滤规则配置界面。
• 控制策略 指对匹配该规则的数据包要采取的策略,包括 允许和禁止。 • 注意: 允许:表示允许数据包通过,且不做网络地址 转换。 禁止:表示禁止数据包通过。 若要采用NAT 若要采用NAT 策略则必须采取允许策略,同时 启用源地址映射。 禁止策略下,启用源地址映射无效。
• 启用用户认证 选中后,本规则仅对通过认证的用户有 效;否则,对所有用户都有效。 • 时间控制 用户可以在下拉框中选择定义好的时间 段,选中后,则该条包过滤规则只有在 该时间段中才生效。点击“时间定义” 该时间段中才生效。点击“时间定义” ,可以链接到时间定义页面,自定义所 需的时间段。 • 启用流量控制 选中为启用流量控制,需要选择优先级 ,并指定保证带宽和最大带宽值。
• 注意:H.323 协议是为了实现在网上实 注意:H.323 现多媒体业务(如实时的语音、视频和 数据)而制定的通讯协议,实际应用如 微软的Netmeeting 微软的Netmeeting 视频会议系统等。 H.323 协议采用的是动态分配端口的技 术,因此如果安全卫士需要支持这种协 议的包过滤,在此处选择H.323协议。选 议的包过滤,在此处选择H.323协议。选 择H.323协议后,“宿端口”不用填写。 H.323协议后,“宿端口”
•
• 当代码(code)选择ANY 时,表示对此 当代码(code)选择ANY 类型下所有code 类型下所有code 的ICMP 报文进行包过 滤。 • 当类型和代码选择下拉框中的某一值, 表示对此种code 表示对此种code 的ICMP 报文进行包过 滤。见下图:
• ICMP 包过滤规则如果是类型为8(echo包过滤规则如果是类型为8(echorequest) 、13(timestamp-request) 、 13(timestamp17(address-mask-request),可不需要 17(address-mask-request),可不需要 下相应的应答规则,安全卫士可动态的 允许应答报文通过安全卫士。
• 优先级 具有较高优先级的流量首先通过;在物理设备 带宽分配完毕的情况下,低优先级的流量仅当 无更高优先级的流量时,才能通过。共有八个 优先级,其中1为最高优先级,8 优先级,其中1为最高优先级,8为最低优先级 。 • 保证带宽 该规则对应的连接所能够获得的最低带宽。连 接的实际带宽可能超过此带宽,单位为千比特 每秒 (kbps)。 (kbps)。 • 最大带宽 该规则对应的连接所能够获得的最大带宽。超 过该值的流量将被延迟或丢弃。带宽的单位为 千比特每秒 (kbps)。 (kbps)。 • 注意:最大带宽填写数字值,不超过物理设备 的实际最大带宽。
• 源地址 网络访问发起的源IP 网络访问发起的源IP 地址或网段或地址 组。用户有两种方式输入源地址,选择“IP地 组。用户有两种方式输入源地址,选择“IP地 址”,则可在后面的输入框中输入IP 地址, ,则可在后面的输入框中输入IP 并选择相应的掩码,不填内容则为任意。 选择“地址组” 选择“地址组”,如果你已经在地址分组 页面定义了地址组,则可在后面的下拉框中选 择已经定义好的地址组,如果地址组单选钮被 置灰,您需要在“地址分组” 置灰,您需要在“地址分组”页面定义地址组 ,方能使用该选项。
• 宿地址 被访问的IP 被访问的IP 地址或网段或地址组。用户 有两种方式输入宿地址,选择“ 有两种方式输入宿地址,选择“IP 地址 ”,则可在后面的输入框中输入IP 地址 ,则可在后面的输入框中输入IP ,并选择相应的掩码,不填内容则为任 意。选择“地址组” 意。选择“地址组”,如果你已经在地 址分组页面定义了地址组,则可在后面 的下拉框中选择已经定义好的地址组, 如果地址组单选钮被置灰,您需要在“ 如果地址组单选钮被置灰,您需要在“ 地址分组” 地址分组”页面定义地址组,方能使用 该选项。
添加透明代理规则
• 源地址 网络访问发起的源IP 网络访问发起的源IP 地址或网段或地址组。 用户有两种方式输入源地址,选择“IP地址” 用户有两种方式输入源地址,选择“IP地址” ,则可在后面的输入框中输入IP ,则可在后面的输入框中输入IP 地址,并选 择相应的掩码,不填内容则为任意。选择“ 择相应的掩码,不填内容则为任意。选择“地 址组” 址组”,如果你已经在地址分组页面定义了地 址组,则可在后面的下拉框中选择已经定义好 的地址组,如果地址组单选钮被置灰,您需要 在“地址分组”页面定义地址组,方能使用该 地址分组” 选项。
• 网络接口 与源地址相连接的网络接口。不选 择(即为空),表示不作限制。 • 宿端口 被访问的服务端口,可以是一个端 口范围(如1:1023 表示1 口范围(如1:1023 表示1 到1023 之间 所有的端口)。不填内容则为任意。
• 服务 安全卫士遵循的安全策略是“ 安全卫士遵循的安全策略是“没有明确允许的是禁止 的”,所以当用户希望非TCP、UDP、ICMP 的IP 协议 ,所以当用户希望非TCP、UDP、 通过安全卫士时,需要在安全策略中增加一条对该协 议的允许规则。缺省情况下安全卫士界面“ 议的允许规则。缺省情况下安全卫士界面“通用协议 ”只可以选择TCP、UDP、ICMP、AH、ESP、EGP、GGP、 只可以选择TCP、UDP、ICMP、AH、ESP、EGP、GGP、 GRE、IGMP、 GRE、IGMP、OSPFIGP 协议,“应用协议”只可以选择 协议,“应用协议” H.323、FTP、Oracle_TNS协议。如果用户需要安全卫 H.323、FTP、Oracle_TNS协议。如果用户需要安全卫 士允许其他类型的IP 协议数据包通过,需要点击“ 士允许其他类型的IP 协议数据包通过,需要点击“应 用协议” 用协议”或“通用协议”来增加协议类型,详细操作 通用协议” 将在本小节后续部分“通用协议” 将在本小节后续部分“通用协议”和“应用协议”中 应用协议” 进行说明。 安全卫士还支持对ICMP 协议的类型(type)和代码( 安全卫士还支持对ICMP 协议的类型(type)和代码( code)进行细粒度过滤。当用户选择ICMP code)进行细粒度过滤。当用户选择ICMP 协议时,包 过滤规则的设置界面将会弹出ICMP 过滤规则的设置界面将会弹出ICMP 协议的类型和代码 过滤参数设置。具体配置方法将在本小节后续部分进 行说明。
• 网络接口 与源地址相对应的网络接口。不选择(即为空)将表 示不作限制。 • 服务类型 包括HTTP、FTP、TELNET、 包括HTTP、FTP、TELNET、SOCKS 以及用户自定义的服 务。 • 用户认证 选择是否使用用户认证。 • 规则策略 允许或禁止该数据包通过安全卫士。 • 高级设置 针对FTP 代理禁止GET 命令或禁止PUT 针对FTP 代理禁止GET 命令或禁止PUT 命令;针对 SOCKS 代理的宿端口设置。 • 确定 制定透明代理规则完毕,返回上一界面。
• 宿地址 被访问的IP 被访问的IP 地址或网段或地址组。 用户有两种方式输入宿地址,选择“ 用户有两种方式输入宿地址,选择“IP 地址”,则可在后面的输入框中输入IP 地址”,则可在后面的输入框中输入IP 地址,并选择相应的掩码,不填内容则 为任意。选择“地址组” 为任意。选择“地址组”,如果你已经 在地址分组页面定义了地址组,则可在 后面的下拉框中选择已经定义好的地址 组,如果地址组单选钮被置灰,您需要 在“地址分组”页面定义地址组,方能 地址分组” 使用该选项。