admin管理员组文章数量:1531663
2024年6月18日发(作者:)
====Word行业资料分享--可编辑版本--双击可删====
第5章 策略配置
本章是防火墙配置的重点。符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。 错误的
安全规则不但有可能使得防火墙形同虚设,甚至有可能妨碍网络正常功能的使用。
5.1 安全选项
安全选项提供防火墙可设置的一些全局安全策略,包括包过滤策略、抗攻击策略、IP/MAC检查开关
和是否允许除IP和ARP之外的其他二层协议通过。这些参数对整个防火墙生效。
界面如下图所示:
图 5-1 安全选项配置
5.1.1 包过滤策略
包过滤缺省允许策略:提供包过滤缺省策略的选项设置,选中为允许,不选为禁止。包过滤缺省策略
是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。如果包过滤缺省策略是禁止,用户添加
的包过滤规则应该是允许哪些连接可以通过;如果包过滤缺省策略是允许,用户添加的包过滤规则应该是
禁止哪些连接不能通过。
严格的状态检测:选中为启用,不选为禁止。仅针对TCP连接。只有完成三次握手的TCP连接才创
====Word行业资料分享--可编辑版本--双击可删====
建状态,除此之外的任何TCP数据包都不创建状态。启用严格的状态检测,是为了防止ACK扫描攻击。
因为如果没有严格的状态检测,那么如果收到ACK置位的包,防火墙就会创建相应的状态,使得此连接可
以通过防火墙。需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性,设置连接建立的时
间时,就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。在某些特殊网络环境下,防火墙可能
无法收到所有三次握手的数据包,此时就不能选中严格的状态检测。
包过滤策略中还包括两项高级设置:
图 5-2 安全选项高级设置
规则配置立即生效:启用后为规则优先(缺省是状态优先)。如果不启用,当一个连接在防火墙上的建
立起来后,设置了与原有的规则相反的规则,则此时数据包仍能够根据建立的状态表通过防火墙;如果启
用,则此时数据包根据设定的规则将无法通过防火墙。重新设置规则可能会造成已有连接中断。建议不启
用。
快速模式:启用后,转发性能有一定提高,但是影响部分功能(如非80端口的URL过滤和网页关键
字过滤等功能)。建议不启用。
5.1.2 抗攻击
设定全局的抗攻击选项,包括抗地址欺骗攻击,抗源路由攻击,抗Smurf攻击,抗LAND攻击,抗
Winnuke攻击,抗Queso扫描,抗NMAP扫描,抗NULL扫描,抗圣诞树攻击,和抗FIN扫描。选中后,
防火墙将对所有流经的数据包进行抗攻击检查。
5.1.3 IP/MAC检查
设定IP/MAC检查开关,以及是否允许未绑定IP/MAC对的包通过。选中后,防火墙将对流经的数据
进行IP/MAC检查,未绑定IP/MAC对的数据包将被拒绝。
请注意:如果设置了启动IP/MAC检查并且未选中允许未绑定IP/MAC对的数据包通过,
则没有绑定IP/MAC对的计算机将无法与防火墙进行通信,包括管理主机。
5.1.4 允许所有二层协议
设定是否允许除IP和ARP外的以太网协议通过。协议类型包括42种固定协议(其中IP和ARP不可
编辑)和5种自定义协议。自定义协议的维护界面如下图示:
版权声明:本文标题:联想网御防火墙PowerV-Web界面操作手册-5策略配置 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1718643327a705939.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论