設定防火牆存取政策和blade

在存取政策中 >防火牆blade控制頁面可以設定預設存取政策控制級別，設定預設應用程式和 URL 以阻止和允許安全瀏覽，以及設定使用者識別 Check Point 軟體blade，旨在將使用者與 IP 地址相關聯，以進行日誌記錄和控制目的。。

存取政策是一群組具有共用屬性的物件集合，例如使用者帳號。規則規則庫中的一群組流量參數和其他條件，可導致針對通訊工作階段採取指定的動作。，用於定義設備對傳入、內部和傳出流量的安全要求。

訪問政策包括：

防火牆政策 - 定義如何檢查數據包。
套用與 URL 過濾- 定義如何控制 Internet 瀏覽和應用程式使用。

訪問政策>Firewall Blade Control 頁面讓您可以輕鬆地為您的組織定義預設政策。此外，您可以在存取政策中定義和查看基於規則的政策>防火牆政策頁面。防火牆blade控制頁面中的設定顯示為規則庫在給定的安全政策中設定的所有規則。Synonym：規則庫。底部自動產生的系統規則。我們建議您使用存取政策>防火牆政策頁面，用於定義手動規則，這些規則是此頁面中定義的預設政策的例外。

訪問政策>防火牆blade控制頁面定義進出您組織的傳入、內部和傳出流量的預設政策。此外，存取政策>防火牆服務器頁面可讓您輕鬆定義組織內特定服務器的預設存取政策，並且還定義了自動產生的系統規則。

防火牆政策

選擇以下選項之一以設定預設存取政策：

嚴格的

預設情況下，阻止所有方向的所有流量。在此模式下，您的政策只能通過 Servers 頁面和通過在 Access Policy 中手動定義存取政策規則來定義 >防火牆政策頁面。
標準
- 允許在設定的服務上向 Internet 傳出流量。您可以單擊服務連結以設定所有或僅設定允許的指定服務。
- 允許內部網路和受信任的無線網路之間的流量（在適用的設備中）。
- 阻止來自 Internet 的傳入未加密流量（從組織外部到它的流量）。
  
  標準政策選項是預設級別，建議在大多數情況下使用。保留它，除非您指定需要更高或更低的安全級別。
離開

允許所有流量。當防火牆被停用時，您的網路將不安全。不套用手動定義的規則。

注意 - 當blade由雲端服務管理時，會顯示一個鎖圖標。您不能在打開和關閉狀態之間切換。如果您更改其他政策設定，則更改是臨時的。在閘道與雲端服務之間的下一次同步處理中，會覆寫本機所做的任何變更。

在標準防火牆政策中設定指定的傳出服務：

當存取政策控制級別設定為標準時，單擊所有服務。
選擇阻止除以下以外的所有傳出服務。
選擇允許哪些服務。
要允許所有服務，請選擇允許所有傳出服務。
點擊套用.

手動設定存取政策規則：

到存取政策>政策頁面。

在存取政策中 >blade控制頁面：

當沒有設定手動規則時，您可以單擊防火牆政策連結以將手動規則新增到防火牆政策。
設定手動規則時，它會顯示新增的規則數。單擊手動規則以在存取政策中查看它們。

單擊服務器以查看設備中定義了多少服務器。如果沒有設定服務器，單擊新增服務器新增一個。服務器物件是一個已定義的 IP 地址，您還可以為其定義特定的存取政策以及傳入 NAT 規則（如有必要）。例如，連接埠轉發 NAT。自動產生的服務器訪問 UserCheck 規則動作可封鎖流量和檔案，並顯示 UserCheck 訊息。使用者可以同意允許該活動。規則是在預設政策規則之上創建的，可以在存取政策中看到 >防火牆政策頁面。您也可以在存取政策中為服務器創建例外規則 >防火牆政策頁面。

套用與網址過濾

應用程式與 URL 過濾部分讓您可以定義如何處理從您的組織到 Internet 的流量上的應用程式和 URL 類別。

套用與 URL 過濾是基於服務的功能，需要網際網路連線才能為新應用程式下載最新的簽名包，並聯繫 Check Point 雲進行 URL 分類。此頁面允許您定義應用程式的預設政策與 URL 過濾控件。預設情況下，建議阻止瀏覽安全風險類別和應用程式。您還可以根據貴公司的政策設定預設情況下阻止的其他應用程式和類別。此外，您還可以選擇限制佔用頻寬的應用程式，以更好地控制頻寬。

除了“ 開” 和 “關” 按鈕外，您還可以選擇“ 僅 URL 過濾” 模式。選擇此選項時，只會阻止 URL 和由 URL 定義的自定義應用程式。最初安裝在您裝置上或新增了自動更新的預定義應用程式不會被阻止。

當您選擇 URL Filtering Only 模式時：

強制執行包含 URL 的規則。不強制執行規則內的任何應用程式。
強制執行包含自定義 URL 和自定義應用程式的規則。
僅對 URL 和自定義應用程式強制執行包含具有預定義應用程式和 URL 的應用程式群組的規則。它們不會對預定義的應用程式強制執行。
應用程式不會通過自動更新進行更新。

此處定義的預設政策在存取政策中的Outgoing traffic Rule Base底部被視為自動產生的規則 >政策頁面。

選擇以下選項中的一個或多個：

阻止安全風險類別 - 讓您阻止可能存在安全風險並被歸類為間諜軟體、網路釣魚、殭屍網路、垃圾郵件、匿名程序或黑客攻擊的應用程式和 URL。預設情況下選擇此選項。
阻止不當內容 - 允許您通過阻止 Internet 訪問包含不當內容（例如性、暴力、武器、賭博和酒精）的網站來控制內容。
阻止文件共享應用程式 - 允許您使用種子和點對點應用程式阻止通常來自非法來來源的文件共享。
阻止其他不需要的應用程式 - 允許您手動新增和阻止應用程式或 URL 類別到一群組不需要的應用程式。如果資料庫中不存在，您還可以創建新的 URL 或應用程式。單擊此選項以管理您的基本應用程式與設定要阻止的內容的 URL 過濾政策。如需更詳細的政策，請到存取政策>防火牆blade控制頁面。
限制頻寬消耗應用程式 ——使用大量頻寬的應用程式會降低重要業務應用程式所需的性能。此選項為應用程式提供加速的 QoS（頻寬控制）。當您選擇此選項時，預設情況下會選擇 P2P 文件共享、媒體共享和媒體流，但您可以編輯該群組以新增您認為應該對其消耗的頻寬量有限制的應用程式或類別。請注意，根據您的 Internet 連線上傳和下載頻寬指定最大頻寬限制非常重要。有關此訊息，請諮詢您的 ISP。要使限制生效，它必須低於您的 ISP 提供的實際頻寬。上傳和下載頻寬通常不相同。

更新

作為一項基於服務的功能，此頁面還向您顯示更新狀態：

最新
無法訪問更新的服務 - 這通常是由於 Internet 連線中斷造成的。您必須檢查設備中的網際網路連線 > 如果問題仍然存在，請訪問 Internet 頁面並聯繫您的 ISP。
不是最新的 - 新的更新包已準備好下載，但更新的排程時間尚未到來。更新通常安排在非高峰時間（週末或晚上）。

安排更新：

將鼠標懸停在更新狀態旁邊的圖標上，然後選擇排程更新連結。
選擇要安排更新的blade。當新的更新包可用並且 WebUI 應用程式底部的狀態欄中顯示不是最新訊息時，您必須手動更新其餘blade。
選擇重複時間範圍：
- 每小時 - 輸入每 x 小時的時間間隔。
- 每日 - 選擇一天中的時間。
- 每週 - 選擇星期幾和一天中的時間。
- 每月 - 選擇月中的某天和一天中的時間。
點擊套用.

使用者識別

User Awareness 允許您將設備設定為對單個使用者和群組實施訪問控制，並顯示基於使用者的日誌而不是基於 IP 地址的日誌。

最初，單擊設定以設定使用者感知識別使用者的方式。設定後，您可以在日誌中查看使用者，還可以設定基於使用者的存取政策規則。使用您組織的 AD 服務器，設備可以無縫地完成使用者識別。使用者資料庫和認證都是通過AD服務器完成的。當使用者登錄到 AD 服務器時，設備會收到通知。來自 AD 服務器的使用者可以用作存取政策規則中的來源。

或者或另外，可以在使用者中本地定義使用者與物件 > 帶有密碼的使用者頁面。要使設備識別這些使用者的流量，您必須設定基於瀏覽器的身份驗證以及訪問前必須首先識別的特定目標。通常，基於瀏覽器的身份驗證不用於所有流量，而是用於特定目的地，因為它需要最終使用者通過專用門戶手動登錄。

如果已設定使用者識別，則會出現啟用使用者識別複選框。要禁用使用者感知，請清除該複選框。要更改設定，請單擊編輯設定。

您也可以隨時單擊 Active Directory 服務器來定義閘道可以使用的 AD 服務器。在編輯設定精靈中也可以創建 AD 服務器。

追踪

選擇要記錄的流量：

流量	日誌選項
阻擋的流量	全部傳出傳入和內部
允許的流量	全部傳出傳入和內部

這些設定適用於預設防火牆和應用程式阻止或接受的所有傳入和傳出流量與 URL 過濾自動產生規則。

這些設定不適用於為 VPN、DMZ 和無線網路自動產生的規則。

設定防火牆存取政策和blade

防火牆政策

套用 與 網址過濾

更新

使用者識別

追踪

更多訊息

套用與網址過濾