【应用场景】
Z系列防火墙设备除了提供向导式的配置方式,还提供了手动配置方式,用户可以根据业务需要配置对应的安全策略。
【操作步骤】
(1) 点击[策略]>>[安全策略]菜单项。
(2) 在操作区,点击<新增>。
系统弹出"提示信息”。
(3) 点击<直接新增>。
系统弹出[新增安全策略]页面。
(4) 设置安全策略相关配置项。
配置项 |
说明 |
配置方法 |
基础信息 |
||
名称 |
安全策略的名称。 |
[示例] Trust to untrust |
启用状态 |
是否启用新增的安全策略。 |
[示例] 启用 |
策略组 |
新增安全策略所属策略组。 |
● 下拉选择。 ● 点击<新增组>,自定义新增策略组。 [示例] 默认策略组 |
| 优先级 | 将新增的安全策略移动到指定策略之前 或之后。策略越靠前匹配优先级越高。 | - |
| 描述 | 安全策略的描述信息。 | 描述不能包含字符:`~!#%^&*+\|{};:'"/<>? [示例] 用于对安全域1到安全域2之间的HTTP流量进行病毒检测。 |
源与目的 |
||
源安全区域/接口 |
目标数据发起的源安全区域或者接口。 |
● 点击下拉选项,在"待选"区域选择源安全域或者接口,自动添加到"已选"区域。 ● 点击<新增安全域>,自定义新增安全域。 [示例] trust |
源地址 |
目标数据连接的发起源地址。 |
点击下拉选项,在"待选"区域选择源地址,自动添加到"已选"区域。 [示例] Any |
| 源地区 | 目标数据连接的发起源地区。 | ● 点击下拉选项,在"待选"区域选择源地区,自动添加到"已选"区域。 ● 点击<新增自定义地区>,可新增地区。 [示例] 中国 |
目的安全区域/接口 |
目标数据连接的目的安全区域或者接口。 |
● 点击下拉选项,在"待选"区域选择目的安全域或者接口,自动添加到"已选"区域。 ● 点击<新增安全域>,自定义新增安全域。 [示例] trust |
目的地址 |
目标数据连接的目的地址。 |
在"待选"区域选择目的地址,自动添加到"已选"区域。 [示例] Any |
| 目的地区 | 目标数据连接的发起目的地区。 | ● 点击下拉选项,在"待选"区域选择目的地区,自动添加到"已选"区域。 ● 点击<新增自定义地区>,可新增地区。 [示例] 中国 |
服务 |
目标数据连接请求的服务类型。 |
[示例] Any |
应用 |
目标数据连接请求的应用类型。 |
[示例] Any |
| 用户 | 指定用户或用户组的流量将会命中本策略。 | ● 点击下拉选项,在"待选"区域选择用户或用户组,自动添加到"已选"区域。 ● 点击<新增用户>或<新增用户组>,可添加新用户或用户组。 [示例] UserGroup_1 |
生效时间 |
安全策略生效时间段。 |
[示例] Any |
用户/用户组 |
指定用户或用户组的流量将会命中本策略。 |
● 点击下拉选项,在"待选"区域选择用户或用户组,自动添加到"已选"区域。 ● 点击<新增用户>,可添加新用户。 [示例] UserGroup_1 |
动作 |
安全策略的执行动作,允许或拒绝目标数据连接。 |
[示例] 允许 |
内容安全 |
目标数据连接是否启用内容安全检查。 |
[示例] 不启用 |
| 高级 | 安全策略的高级配置选项,包括: 长连接:此选项适用于有长连接请求的特殊服务器。开启该功能后,服务器的连接请求不受防火墙设备连接超时影响。需要选择连接时长。开启后可能导致连接释放缓慢,请谨慎开启。 |
● 开启长连接功能前需要先配置策略的目的地址和服务。 ● 点击<设置>,在弹出的[高级选项]页面进行设置。 [示例] 禁用 |
(5) 点击<保存>。