配置防火墙访问策略和刀片

在访问策略 > 防火墙刀片控制页面，你可以设置默认的访问策略控制级别，设置默认的应用程序和URL以阻止和允许安全浏览，并配置用户感知 Check Point的一个软件刀片，旨在将用户与IP地址联系起来，用于记录和控制。。

访问策略是一组规则 规则库中的一组流量参数和其他条件，导致对一个通信会话采取指定的行动。，它定义了你的设备对入站、内部和出站流量的安全要求。

访问策略包括：

• 防火墙策略- 定义如何检查数据包。

• 应用用户和对象URL过滤- 定义了如何控制互联网浏览和应用的使用。

访问策略 > 防火墙刀片控制页面让你轻松地为你的组织定义默认策略。此外，你可以在访问策略 > 防火墙策略页面中定义和查看基于规则的策略。防火墙刀片控制页面中的配置在规则库的底部显示为自动生成的系统规则。我们建议你使用访问策略 > 防火墙策略页面来定义手动规则，这些规则是该页面中定义的默认策略的例外。

访问策略 > 防火墙刀片控制页面为进出你的组织的流量定义了默认策略。此外，"访问策略 > 防火墙服务器"页面可以让你轻松地为组织内的特定服务器定义默认访问策略，自动生成的系统规则也被定义。

防火墙策略

选择这些选项之一来设置默认的访问策略：

• 严格的

  默认情况下，拦截所有方向的所有流量。在这种模式下，你的策略只能通过服务器页面和在访问策略 > 防火墙策略页面中手动定义访问策略规则来定义。

• 标准

  • 允许在配置的服务上向互联网发出流量。你可以点击服务链接，配置所有或只允许的指定服务。

  • 允许内部网络和受信任的无线网络之间的通信（在适用的设备中）。

  • 阻止从互联网传入的未加密的流量（从你的组织之外传入的流量）。

    标准策略选项是默认级别，建议用于大多数情况。保留它，除非你对更高或更低的安全级别有特定的需求。

• 关闭

  允许所有流量。当防火墙被停用时，你的网络就不安全了。手动定义的规则不被应用。

要在标准防火墙策略中设置指定的出站服务：

1. 当访问策略控制级别被设置为标准时，点击所有 服务。

2. 选择阻止所有出站服务，但以下情况除外。

3. 选择要允许哪些服务。

4. 要允许所有服务，请选择允许所有出站服务。

5. 点击应用.

要手动配置访问策略规则：

转到访问策略 > 策略页面。

在访问策略 > 刀片控制页面：

• 当没有配置手动规则时，你可以点击防火墙策略链接，将手动规则添加到防火墙策略中。

• 当配置了手动规则时，它显示了所添加规则的数量。点击手动规则，在访问策略中看到它们。

单击 "服务器"，查看设备中定义了多少台服务器。如果没有配置服务器，请点击添加服务器来添加一个。一个服务器对象是一个已定义的IP地址，你也可以对其定义一个特定的访问策略，必要时还可以定义传入的NAT规则。例如，端口转发的NAT。自动生成的对服务器的访问规则是在默认策略规则之上创建的，可以在访问策略 > 防火墙策略页面看到。你也可以在访问策略 > 防火墙策略页面中为服务器创建例外规则。

应用和URL过滤

应用用户和对象URL过滤 Check Point软件刀片在安全网关上，允许对特定用户组、计算机或网络可访问的网站进行细化控制。简称。URLF。部分让你定义如何处理从你的组织到互联网的流量上的应用和URL类别。

应用用户和对象URL过滤是基于服务的功能，需要互联网连接以下载新应用的最新签名包，并联系Check Point云进行URL分类。这个页面让你定义应用用户和对象URL过滤控制的默认策略。默认情况下，建议阻止对安全风险类别和应用程序的浏览。你也可以根据你公司的策略，配置额外的应用程序和类别来默认阻止。此外，你还可以选择限制消耗带宽的应用程序，以更好地控制带宽。

除了 "开"和"关"按钮外，你还可以选择 "只过滤URL"模式。当你选择这个选项时，只有URL和由URL定义的自定义应用程序被阻止。最初安装在您的计算机上的预定义应用程序或通过自动更新添加的应用程序不会被阻止。

当你选择只过滤URL的模式时：

• 包含URL的规则被强制执行。任何规则内的应用都不会被强制执行。

• 包含自定义URL和自定义应用程序的规则被强制执行。

• 包含预定义应用和URL的应用组的规则只对URL和自定义应用执行。对于预定义的应用程序，它们不被强制执行。

• 应用程序不通过自动更新进行更新。

这里定义的默认策略在访问策略 > 策略页面的出站流量规则库的底部被视为自动生成的规则。

选择其中一个或多个选项：

• 阻止安全风险类别- 让您阻止可能成为安全风险并被归类为间谍软件、网络钓鱼、僵尸网络、垃圾邮件、匿名者或黑客的应用程序和URL。默认情况下，该选项被选中。

• 阻止不适当的内容- 让你控制内容，阻止互联网访问有不适当内容的网站，如性、暴力、武器、赌博和酒精。

• 阻止文件共享应用程序- 让你阻止通常来自非法来源的文件共享，这些文件是使用torrents和点对点应用程序。 

• 阻止其他不受欢迎的应用程序- 让你手动添加和阻止应用程序或类别的URL到不受欢迎的应用程序组。如果数据库中没有，你也可以创建一个新的URL或应用程序。点击这个选项，管理你的基本应用& URL过滤策略，该策略设置了要阻止的内容。对于更细化的策略，请访问访问策略 > 防火墙刀片控制页面。 

• 限制消耗带宽的应用程序- 消耗大量带宽的应用程序会降低重要业务应用程序所需的性能。该选项为应用程序提供了加速的QoS（带宽控制）。当你选择这个选项时，P2P文件共享、媒体共享和媒体流被默认选中，但你可以编辑该组，添加你认为应该对其消耗的带宽量进行限制的应用程序或类别。请注意，根据你的互联网连接上传和下载带宽，指出最大带宽限制是非常重要的。请咨询您的ISP，了解这方面的信息。为了使限制有效，它必须低于你的ISP所提供的实际带宽。上传和下载的带宽通常是不一样的。

更新

作为一个基于服务的功能，这个页面也向你显示更新状态：

• 最新

• 更新后的服务无法到达 - 这通常是由于互联网连接的中断造成的。你必须在 "设备"> "互联网"页面中检查你的互联网连接，如果问题仍然存在，请联系你的ISP。

• 未更新 - 一个新的更新包已经准备好下载，但预定的更新时间还没有发生。更新通常被安排在非高峰时段（周末或晚上）。

要安排更新：

1. 将鼠标悬停在更新状态旁边的图标上，选择安排更新链接。

2. 选择要安排更新的刀片。当新的更新包可用时，你必须手动更新刀片的其他部分，并且在 WebUI 应用程序底部的状态栏中显示未更新信息。

3. 选择一个循环时间段：

   • 每小时- 输入每x小时的时间间隔。

   • 每日- 选择一天中的时间。

   • 每周- 选择每周的日期和时间。

   • 每月- 选择每月的日期和每天的时间。

4. 点击应用.

用户感知

用户感知可以让你配置设备，对单个用户和组实施访问控制，并显示基于用户的日志而不是基于IP地址的日志。

最初，单击 "配置 "来设置 "用户感知 "如何识别用户。当这个配置完成后，你可以在日志中看到用户，也可以配置基于用户的访问策略规则。用户识别可以由设备使用你组织的AD服务器无缝完成。用户数据库和认证都是通过AD服务器完成的。当用户登录到AD服务器时，设备会收到通知 UserCheck规则动作，阻止流量和文件，并显示UserCheck信息。用户可以同意允许该活动。。来自AD服务器的用户可以被用作访问策略规则的源。

另外，也可以在本地定义用户，用户和对象对象 > 用户页面，并设置密码。为了使设备能够识别这些用户的流量，你必须配置基于浏览器的认证，以及在访问前必须首先识别的特定目的地。通常情况下，基于浏览器的认证不是用于所有的流量，而是用于特定的目的地，因为它需要终端用户通过一个专门的门户进行手动登录。

如果已经配置了用户感知，会出现启用用户感知复选框。要禁用用户感知，请取消该复选框。要对配置进行修改，请点击编辑设置。

在任何时候，你也可以点击AD域服务器来定义一个网关可以工作的AD服务器。创建AD服务器也可以在编辑设置向导中进行。

追踪

选择要记录的流量：

这些设置适用于所有被默认防火墙和应用程序用户和对象URL过滤自动生成的规则阻止或接受的传入和传出流量。

这些设置不适用于自动生成的VPN、DMZ和无线网络的规则。

更多信息

Check Point应用数据库包含4500多个应用和约9600万个分类URL。

每个应用都有一个描述、一个类别、附加类别和一个风险等级。你可以在你的应用控制 安全网关上的Check Point软件刀片，通过使用深度数据包检查，允许对特定的网络应用进行细化控制。简称。APPI。和URL过滤规则中包括应用和类别。如果您的设备获得了应用控制用户和对象URL过滤刀片的许可，数据库会定期更新，增加新的应用、类别和社交网络部件。这可以让你轻松地创建和维护一个最新的策略。

你可以从以下方面看到应用数据库：

• 阻止其他不受欢迎的应用程序链接。

• 应用程序用户和对象URLs链接 - 这将打开用户用户和对象对象 > 应用程序用户和对象URLs页面。

• Check Point AppWiki链接 - AppWiki是一个易于使用的工具，允许你搜索和过滤应用程序用户和对象URL过滤数据库。