使用防火牆存取政策
防火牆政策
在 存取政策 中 >Firewall Policy 頁面可以管理Firewall Rule Base。您可以創建、編輯、刪除、啟用或禁用規則 規則庫中的一群組流量參數和其他條件,可導致針對通訊工作階段採取指定的動作。。
在 存取政策 中 >Firewall Blade Control 頁面確定基本的防火牆政策模式:
-
在 標準 模式下,此頁面會向您顯示根據預設政策設定自動產生的規則以及手動定義的規則作為此預設政策的例外。
-
在 嚴格 模式下,預設情況下會阻止所有訪問 UserCheck 規則動作可封鎖流量和檔案,並顯示 UserCheck 訊息。使用者可以同意允許該活動。,此頁面是為您的組織設定訪問規則的唯一方法。
規則庫 在給定的安全政策中設定的所有規則。Synonym:規則庫。分為兩個部分。這兩個部分中的每一個都代表一個不同的安全政策 一群組規則集合,可控制網路流量並強制執行資料保護的組織準則,以及透過封包檢查來存取資源。——您的組織如何瀏覽 Internet(您的組織外部的世界)以及訪問您的組織資源的安全政策(從您的組織內部和外部)。頁面頂部有三個連結,可讓您同時查看兩個部分或僅查看其中一個部分。
-
對 Internet 的傳出訪問 - 適用於所有傳出流量規則。在此規則庫中,您可以確定在組織外部訪問 Internet 的政策。通常這裡的政策是允許基本流量,但您可以根據公司的判斷阻止應用程式和 URL。在 存取政策 中 >防火牆blade控制 頁面可以設定預設政策來阻止應用程式和 URL。此頁面允許您新增手動規則作為預設政策的例外。您還可以 自定義在特定網站被規則庫阻止或接受時向使用者顯示的訊息 (見下文)。您還可以對應用程式或 URL 使用 Ask 操作,讓最終使用者確定瀏覽是否用於與工作相關的目的。例如,我們建議您新增一個規則,在瀏覽到未分類的 URL 之前詢問使用者。這樣的規則可以破壞可能的殭屍攻擊。
-
傳入、內部和 VPN 流量 - 適用於所有傳入、內部和 VPN 流量規則。在此規則庫中,您可以確定訪問組織資源的政策。所有內部網路、無線網路 和 外部 VPN 站點都被視為您組織的一部分,並且在此規則庫中檢查到它們的流量。通常這裡的政策是阻止來自組織外部的流量進入它並允許組織內部的流量。
在標準模式下,您可以在各個頁面中設定更細化的預設政策:
-
預設情況下,可以阻止或接受從特定來來源進入您的組織的流量 。這個設定可以在每個特定來源的編輯模式中找到:
-
外部 VPN 站點 - 設定從/到 VPN 的預設訪問 >站點到站點blade控制 頁面。
-
遠端存取 VPN 遠端存取使用者端(例如端點安全 VPN)和安全閘道之間的加密通道。 使用者 - 設定來自 VPN 的預設訪問 >遠端存取blade 控制頁面。
-
無線網路 - 從 設備 中每個無線網路的編輯視窗中的訪問選項卡為每個無線網路設定預設訪問 >無線網路 頁面。
-
DMZ 網路 - 從 設備 中 DMZ 物件的編輯視窗設定預設訪問 >本地網路 頁面。
注意 - 1530 / 1550 設備不支援 DMZ。
-
-
存取政策 中每個服務器的編輯視窗中設定的定義服務器物件的流量>防火牆服務器 頁面。
此頁面允許您新增手動規則作為預設政策的例外。在嚴格模式下,預設政策會阻止所有內容,您只能通過手動規則設定訪問權限。
在每個部分中有以下部分:
-
手動規則 - 您手動創建的規則。
-
自動產生的規則 - 系統根據初始防火牆政策模式(嚴格或標準)確定的規則,如上所述。這些規則也受到系統中其他物件的影響。例如,當您新增服務器時,相應的規則會新增到傳入、內部和 VPN 流量部分。
這些是管理防火牆存取政策規則的區域:
規則庫區域 |
敘述 |
---|---|
不。 |
防火牆規則庫中的規則編號。 |
來來源 |
發起連線的 IP 地址、網路物件 代表企業拓撲不同部分的邏輯物件——裝置、IP 地址、流量協議等。管理者在安全政策中使用這些物件。、使用者群組 具有相關職責的已命名使用者群組。或網域物件。 |
目的地 |
作為連線目標的 IP 地址或網路物件。 |
應用程式 |
接受或阻止的應用程式或網站。您可以按常見應用程式、類別、自定義應用程式、URL 或群組 具有共用屬性的物件集合,例如使用者帳號。來過濾列表。有關詳細訊息,請參閱 管理應用程式 與 網址與 網址。 此區域僅顯示在對 Internet 的傳出訪問部分中。 |
服務 |
接受或阻止的網路服務類型。 |
行動 |
當流量匹配規則時執行的防火牆操作。 對於傳出流量規則,除了常規的阻止或接受操作外,您還可以使用 自定義訊息 選項來設定“詢問”或“通知”操作。 可以為這些操作類型設定顯示的訊息:接受並通知、阻止並通知或詢問。詢問操作讓最終使用者決定此流量是出於工作目的還是個人目的。請參閱下面的 自定義訊息 部分。使用者被重指向到顯示訊息或問題的門戶。 如果為規則設定了時間範圍,則會顯示一個時鐘圖標。 |
日誌 |
當流量匹配規則時執行的追蹤和日誌記錄操作。 |
註解 / |
緊接在上述區域下方顯示的詳細訊息:
|
“詢問”行動
傳出的規則庫提供了設定 詢問 操作的選項,而不僅僅是允許或阻止基於瀏覽器的應用程式。有幾種常用的情況,這很有用:
-
此操作可用於組織中通常不允許的流量,但您確實希望它可用於與工作相關的目的。最終使用者會被詢問是否需要瀏覽工作相關的內容,並且可以繼續瀏覽而無需管理者更改此單個事件的存取政策。例如,訪問 Facebook 的流量通常會被阻止,但您希望您的人力資源部門能夠出於工作相關目的訪問它。
-
此針對未分類 URL 的流量的操作還可以針對設法安裝在您的組織內部的惡意軟體提供安全保護。此類惡意軟體會被 Ask 操作阻止。
設定訪問規則
要創建新的手動定義的訪問規則:
-
單擊 新增旁邊的箭頭。當頁面顯示兩個規則庫時,單擊相應表中的 新增 。
-
單擊規則的可用定位選項之一:
在頂部、 在底部、 在選定的上方或 在選定的下方。
新增規則 視窗打開。它以兩種方式顯示規則區域:
-
具有預設值的規則摘要語句。
-
表中包含規則庫區域的表。
-
-
單擊規則摘要或表格單元格中的連結以選擇填入規則庫區域的網路物件或選項。請參閱上面的說明。
注意 - 應用程式 區域僅適用於傳出規則。
在 來源 區域中,您可以選擇輸入手動 IP 地址(網路)、網路物件、網域物件或使用者群組(要設定基於使用者的政策,請確保使用者識別blade已啟用)。使用者可以在設備上本地定義,也可以在外部 Active Directory 中定義。
有關詳細訊息,請參閱 存取政策>使用者識別blade控制 頁面。
-
在 寫註解 區域中,輸入描述規則的說明內容。這顯示為存取政策中規則下方的註解。
-
要將規則限制在特定時間範圍內,請選擇 僅在這段時間內套用 並選擇開始和結束時間。
-
在傳出規則中,要限制下載流量速率,請選擇 將應用程式的下載流量限制為 並輸入 Kpbs 速率。
-
在傳出規則中,要限制上傳流量速率,請選擇 將應用程式的上傳流量限制為 並輸入 Kpbs 速率。
-
在傳入規則中,要僅匹配加密的 VPN 流量,請選擇 Match only for encrypted traffic。
-
點擊套用.
該規則被新增到存取政策的傳出或傳入部分。
要clone規則:
clone規則以新增與已存在的規則幾乎相同的規則。
-
選擇一個規則並點擊 clone。
-
根據需要編輯區域。
-
點擊套用.
要編輯規則:
|
注意 - 對於存取政策規則,您只能編輯自動產生規則的追蹤選項。 |
-
選擇一個規則並點擊 編輯。
-
根據需要編輯區域。
-
點擊套用.
要刪除規則:
-
選擇一個規則並點擊 刪除。
-
在確認訊息中單擊 是 。
啟用或禁用規則:
-
要禁用已新增到規則庫中的手動定義規則,請選擇該規則並單擊 禁用。
-
要啟用您之前禁用的手動定義規則,請選擇該規則並點擊 啟用。
要更改規則順序:
-
選擇要移動的規則。
-
將其拖放到所需位置。
注意 - 您只能更改手動定義規則的順序。
可更新物件
可更新物件 代表外部服務的網路物件,例如微軟 365、AWS、地理位置等。是代表外部服務的網路物件,例如 Office 365、AWS、地理位置等。您可以從可更新物件列表中進行選擇。類別取決於在線服務更新。
外部服務提供商發布 IP 地址或網域或兩者的列表以允許訪問他們的服務。這些列表是動態更新的。可更新物件從這些已發布的提供商列表中獲取內容,Check Point 將其上傳到 Check Point 雲端。每次提供商更改列表時,可更新物件都會在安全閘道 一個專用的 Check Point 服務器,用於運行 Check Point 軟體來檢查流量並對連線的網路資源執行安全政策。上自動更新。無需安裝政策即可使更新生效。
有關當前支援的物件的列表,請參閱 sk173416.
您可以導入可更新物件以在防火牆政策規則中使用。
要導入可更新物件:
-
在「防火牆存取政策」頁面的「規則庫」中,點擊新增。如有必要,請指定規則順序。
-
點擊 可更新的物件 ,接著選擇欲更新的物件。
-
點擊匯入。
-
編輯規則,使來來源和目標使用指定的國家/地區。
-
選擇操作 和 日誌。
-
選填- 輸入註解。
-
選擇 - 相應時間或流量等限制。
-
點擊套用。
自定義訊息
您可以自定義訊息以使安全閘道與使用者通信。這有助於使用者了解某些網站違反了公司的安全政策。它還告知使用者有關網站和應用程式不斷變化的網際網路政策。當您設定此類訊息時,當使用訊息相關操作之一在規則上匹配流量時,使用者的 Internet 瀏覽器會在新視窗中顯示訊息。
這些是操作選項及其相關通知:
規則庫操作 |
通知 |
---|---|
接受並告知 |
向使用者顯示訊息性訊息。使用者可以繼續申請或取消申請。 |
阻止並通知 |
向使用者顯示訊息並阻止應用程式請求。 |
問 |
向使用者顯示一條訊息並詢問他們是否要繼續請求。有關更多詳細訊息,請參見上文。 |
要自定義訊息:
-
單擊 傳出訪問 Internet 部分中的 自定義訊息 。
-
在每個選項卡中設定選項:
-
接受並告知
-
阻止並通知
-
問
-
-
為每個通知設定適用的區域:
-
標題 - 保留預設值或輸入不同的標題。
-
主題 - 保留預設值或輸入不同的主題。
-
內文 - 保留預設值或輸入不同的內文。您可以單擊 可選關鍵字 以獲取可新增到內文中的關鍵字列表,以便為使用者提供更多訊息。
-
忽略文本 (僅適用於詢問)- 這是詢問使用者訊息的確認訊息。保留預設文本或輸入不同的文本
-
使用者必須輸入原因 (僅適用於詢問)- 如果使用者必須為其活動輸入解釋,請選中此複選框。使用者訊息包含用於輸入原因的文字方塊。
-
倒退操作 - 當通知無法在導致通知的瀏覽器或應用程式中顯示時,選擇替代操作(阻止或接受),尤其是在非 Web 應用程式中。如果確定通知無法在瀏覽器或應用程式中顯示,則行為是:
-
如果倒退操作是 接受 - 使用者可以訪問網站或應用程序。
-
如果倒退操作是 阻止 - 安全閘道嘗試在導致通知的應用程式中顯示通知。如果不能,則網站或應用程式會被阻止,使用者也不會看到通知。
-
-
頻率 - 您可以設定使用者收到有關存取政策不允許的應用程式的通知的次數。選項包括:
-
一天一次
-
一個星期一次
-
每月一次
例如,在應用程式 - 社交網路類別中包含的規則中,如果您選擇 每天一次 作為頻率,則多次訪問 Facebook 的使用者會收到一個通知。
-
-
將使用者重指向到 URL- 您可以將使用者重指向到外部門戶,而不是閘道。在 URL 區域中,輸入外部門戶的 URL。指定的 URL 可以是外部系統。它從使用者那裡獲取身份驗證憑據,例如使用者名或密碼。它將此訊息發送到閘道。僅適用於阻止和資訊通知。
-
-
單擊 自定義 選項卡可為設備顯示的所有門戶自定義標籤(使用者識別 Check Point 軟體blade,旨在將使用者與 IP 地址相關聯,以進行日誌記錄和控制目的。使用的熱點 透過連線至網際網路服務供應商之連結的路由器,提供可存取網際網路的無線區域網路網路的區域網路。和強制門戶)。單擊 上傳,瀏覽到標籤文件並單擊 套用。如有必要,您可以通過單擊 使用預設值恢復為預設標籤。
-
點擊套用.