利用防火墙访问策略工作

防火墙策略

访问策略 > 防火墙策略页面,你可以管理防火墙规则关闭 规则库中的一组流量参数和其他条件,导致对一个通信会话采取指定的行动。库。你可以创建、编辑、删除、启用或停用规则。

访问策略 > 防火墙刀片控制页面,你确定基本防火墙策略模式。

  • 在 "标准"模式下,该页显示了根据默认策略的配置自动生成的规则和作为该默认策略例外的手动定义的规则。

  • 严格模式下,默认情况下所有的访问都被阻止,这个页面是为你的组织配置访问规则的唯一方法。

规则库分为两部分。这两部分分别代表不同的安全策略关闭 控制网络流量的规则集合,通过数据包检查执行数据保护和资源访问的组织准则。--你的组织如何浏览互联网(你的组织以外的世界)和访问你的组织资源的安全策略(从你的组织内部和外部)。在页面的顶部有三个链接,让你看到两个或只有一个部分。

  • 外出访问互联网- 对于所有外出的流量规则。在这个规则库中,你要确定在你的组织之外访问互联网的策略。通常情况下,这里的策略是允许基本的流量,但你可以根据你的公司的决定来阻止应用程序和URL。在访问策略 > 防火墙刀片控制页面,你可以配置默认策略来阻止应用程序和URL。这个页面让你添加手动规则作为默认策略的例外。你还可以自定义指定网站被规则库阻止或接受时向用户显示的信息(见下文)。你也可以对应用程序或URL使用通知动作,让最终用户确定浏览是否是为了工作相关的目的。例如,我们建议你添加一条规则,在浏览未分类的URL之前通知关闭 UserCheck规则动作,阻止流量和文件,并显示UserCheck信息。用户可以同意允许该活动。用户。这样的规则可以打乱可能的僵尸攻击。

  • 入站、内部和VPN流量- 用于所有入站、内部和VPN流量规则。在这个规则库中,你决定访问你的组织资源的策略。所有的内部网络、无线网络外部VPN站点都被认为是你的组织的一部分,在这个规则库中对它们的流量进行检查。通常情况下,这里的策略是阻止来自你的组织以外的流量进入,并允许你的组织内的流量。

    在标准模式下,你可以在各个页面上配置更细化的默认策略。

    • 从特定来源进入你的组织的流量可以被阻止或默认接受。这种配置可以在每个具体的来源的编辑模式中找到。

    • 外部VPN站点 - 配置来自/到VPN的默认访问> 站点到站点的刀片控制页面。

    • 远程访问VPN关闭 远程访问客户端(如端点安全VPN)和安全网关之间的加密隧道。用户 - 从VPN > 远程访问刀片控制页面配置默认访问。

    • 无线网络--在 "设备"> "无线网络"页面的每个无线网络编辑窗口的 "访问 "选项卡中,为每个无线网络配置默认访问。

    • DMZ网络 - 在设备 > 本地网络页面的DMZ对象编辑窗口中配置默认访问。

      注意- 1530 / 1550设备不支持DMZ。

  • 访问策略 > 防火墙服务器页面中每个服务器的编辑窗口中配置的定义的服务器对象的流量

    这个页面让你添加手动规则作为默认策略的例外。在严格模式下,默认策略阻止一切,你只能通过手动规则配置访问。

每一节中都有这些部分。

  • 手动规则- 你手动创建的规则。

  • 自动生成的规则- 系统根据初始防火墙策略模式(严格或标准)确定的规则,如上所述。这些规则也受到系统中其他元素的影响。例如,当你添加一个服务器时,一个相应的规则就会被添加到入境、内部和VPN流量部分。

这些是管理防火墙访问策略的规则的字段。

规则基础字段

描述

No。

防火墙规则库中的规则编号。

来源

启动连接的IP地址、网络对象关闭 代表企业拓扑结构不同部分的逻辑对象--计算机、IP地址、流量协议等。管理员在安全策略中使用这些对象。用户组关闭 具有相关职责的命名的用户组。或域对象。

目的地

作为连接目标的IP地址或网络对象。

应用

接受或阻止的应用程序或网站。你可以通过普通应用程序、类别、自定义定义的应用程序、URL或组来过滤列表。欲了解更多信息,请参阅管理应用程序和URLs

这个字段只显示在向外访问互联网部分。

服务

接受或阻止的网络服务类型。

行为

当流量与规则匹配时进行的防火墙操作。

对于流出的流量规则,你可以使用自定义消息选项来配置 "询问 "或 "通知 "动作,除了常规的阻止或接受动作之外。

所显示的信息可以为这些行动类型设置。接受并告知,阻止并告知,或询问。询问动作让终端用户决定这个流量是用于工作还是个人用途。见下面的 "自定义信息"部分。用户被重定向到一个显示信息或问题的门户。

如果为规则设置了时间范围,则会显示一个时钟图标。

纪录

当流量与规则相匹配时,所做的跟踪和记录动作。

备注/
自动生成的规则

紧接着上述字段下方显示的信息为。

  • 你在创建规则时输入的注释。

  • 系统自动生成的规则。你可以点击备注中的对象名称链接,打开其配置标签。

"询问 "响应

对于基于浏览器的应用程序,出站规则库提供了设置询问动作的选项,而不是仅仅允许或阻止。有几个常用的案例,这是有帮助的。

  • 这个动作可用于你的组织中通常不允许的流量,但你确实希望它可用于工作相关的目的。终端用户被问及是否需要为工作相关目的进行浏览,并可以继续,而不需要管理员为这一单一事件对访问策略进行修改。例如,Facebook的流量一般是被拦截的,但你希望你的人力资源部门能够为工作相关的目的访问它。

  • 对未分类的URL的流量采取这种响应,也可以对设法在你的组织内安装的恶意软件提供安全保障。这样的恶意软件被Ask响应所阻止。

配置访问规则

要创建一个新的手动定义的访问规则。

  1. 点击 "新建"旁边的箭头。当页面显示两个规则库时,在相应的表格中点击新建

  2. 点击该规则的一个可用的定位选项。

    在上面在下面,在 选定的上方,或在选定的下方

    打开 "添加规则"窗口。它以两种方式显示规则字段。

  3. 点击规则摘要中的链接或表格单元,选择网络对象或选项,填写规则基础字段。见上面的描述。

    注意--应用字段只适用于出站规则。

    字段中,你可以选择输入手动IP地址(网络)、网络对象、域对象或用户组(要配置基于用户的策略,确保用户感知关闭 Check Point的一个软件刀片,旨在将用户与IP地址联系起来,用于记录和控制。刀片被激活)。用户可以在设备上本地定义,也可以在外部的AD中定义。

    欲了解更多详情,请参阅访问策略 > 用户感知刀片控制页面。

  4. 写备注字段中,输入描述该规则的可选文本。这在访问策略中显示为规则下面的注释。

  5. 要把规则限制在某一时间范围内,选择只在这段时间内应用,并选择开始和结束时间。

  6. 在传出规则中,要限制下载流量的速率,选择限制应用程序的下载流量,并输入Kpbs速率。

  7. 在传出规则中,要限制上传流量的速率,选择限制应用程序的上传流量,并输入Kpbs速率。

  8. 在传入规则中,要只匹配加密的VPN流量,选择只匹配加密的流量

  9. 点击应用.

    该规则被添加到访问策略的传出或传入部分。

要克隆一个规则。

克隆一个规则,增加一个与已经存在的规则几乎相同的规则。

  1. 选择一个规则,然后点击克隆

  2. 根据需要编辑这些字段。

  3. 点击应用.

要编辑一个规则。

注意- 对于访问策略规则,你只能编辑自动生成规则的跟踪选项。

  1. 选择一个规则并点击编辑

  2. 根据需要编辑这些字段。

  3. 点击应用.

要删除一条规则。

  1. 选择一个规则并点击删除

  2. 在确认信息中点击

要启用或停用一个规则。

  • 要禁用你添加到规则库中的手动定义的规则,选择该规则并点击禁用

  • 要启用你以前禁用的手动定义的规则,选择该规则并点击启用

要改变规则的顺序。

  1. 选择要移动的规则。

  2. 把它拖到必要的位置。

    注意- 你只能改变手动定义的规则的顺序。

可更新的对象

可更新的对象关闭 一个代表外部服务的网络对象,如微软365、AWS、地理位置等。是代表外部服务的网络对象,如Office 365、AWS、地理位置等。你可以从可更新的对象列表中选择。类别取决于在线服务的更新。

外部服务提供商公布IP地址或域名或两者的清单,以允许访问其服务。这些名单是动态更新的。可更新的对象从这些公布的供应商名单中获得其内容,Check Point将其上传到Check Point云。每次提供者改变列表时,可更新的对象会在安全网关关闭 一台专门的Check Point服务器,运行Check Point软件,检查流量并为连接的网络资源执行安全策略。上自动更新。不需要安装策略就能使更新生效。

关于当前支持的对象的列表,见sk173416

你可以导入可更新的对象,在防火墙策略规则中使用。

要导入一个可更新的对象。

  1. 防火墙访问策略 页面,在“规则”中,单击 新建。如有必要,请指定规则顺序。

  2. 单击 可更新的对象,选择想要的对象。

  3. 单击 导入

  4. 编辑规则,以便源和目标使用指定的国家/地区。

  5. 选择 行为日志

  6. 可选 - 输入备注。

  7. 可选 - 应用限制(如时间或流量限制)。

  8. 点击应用.

定制信息

你可以自定义消息,让安全网关与用户沟通。这有助于用户了解一些网站是违反公司的安全策略的。它还告诉用户有关网站和应用程序的互联网策略的变化。当你配置这种消息时,当流量在使用消息相关操作的规则上被匹配时,用户的互联网浏览器会在一个新窗口中显示这些消息。

这些是响应选项和它们的相关通知。

规则基础响应

通知

接受并告知

向用户显示一个信息性的消息。用户可以继续应用或取消请求。

阻止和告知

向用户显示一条信息,并阻止应用程序的请求。

通知

向用户显示一条信息,通知他们是否要继续请求。更多信息见上文。

要自定义信息。

  1. 单击 "外发访问互联网"部分的 "自定义信息"。

  2. 配置这些标签中的每个选项。

    • 接受并告知

    • 阻止和告知

    • 通知

  3. 配置每个通知的适用字段。

    • 标题- 保持默认或输入一个不同的标题。

    • 主题- 保持默认或输入一个不同的主题。

    • 主体- 保持默认或输入不同的主体文字。你可以点击可选关键词,查看你可以在正文中添加的关键词列表,以便给用户提供更多信息。

    • 忽略文本(仅适用于通知) - 这是通知用户信息的确认信息。保持默认文本或输入不同的文本

    • 用户必须输入理由(仅适用于通知) - 如果用户必须为其动作输入解释,请选择此复选框。用户信息包含一个输入原因的文本框。

    • 回退操作- 选择一个替代行动(阻止或接受),当通知不能在引起通知的浏览器或应用程序中显示时,最明显的是在非网络应用中。如果确定通知不能在浏览器或应用程序中显示,其行为是。

      • 如果回退动作是接受- 用户可以访问网站或应用程序。

      • 如果回退行动是阻止- 安全网关尝试在引起通知的应用程序中显示通知。如果不能,该网站或应用程序将被拦截,而用户不会看到通知。

    • 频率- 你可以设置用户在访问策略不允许的应用程序时得到通知的次数。这些选项是:。

      • 每天一次

      • 每周一次

      • 每月一次

        例如,在一个包含应用--社交网络类别的规则中,如果你选择每天一次作为频率,一个多次访问Facebook的用户就会得到一次通知。

    • 将用户重定向到URL- 你可以将用户重定向到一个外部门户,而不是在网关上。在URL区域,输入外部门户的URL。指定的URL可以是一个外部系统。它从用户那里获得认证凭证,如用户名或密码。它将这些信息发送到网关。只适用于阻止和通知的通知。

  4. 单击 "自定义"选项卡,为设备显示的所有门户(用户感知使用的热点关闭 一个提供无线局域网络与互联网接入的区域,通过路由器连接到互联网服务提供商的链接。和限制性门户)自定义一个标识。点击上传,浏览到标志文件,然后点击应用。如果有必要,你可以通过点击使用默认值恢复到默认标识。

  5. 点击应用.