配置安全策略
本节介绍如何在小规模部署中使用安全策略
控制网络流量并通过数据包检查强制执行数据保护和资源访问的组织准则的规则集合。。
创建安全策略
R80.20及以上版本支持策略的有序层和内联层,策略是网关对传入和传出流量执行的一组规则 规则库中的一组流量参数和其他条件,用于对通信会话采取指定的操作。。你可以用层来建立一个规则库 在给定的安全策略中配置的所有规则。同义词:规则库。,每一层都有自己的安全规则集。各层按其定义的顺序进行检查,这样可以控制规则库的流程和安全功能的优先级。如果在某一层完成了一个"接受"的动作,则在下一层继续检查。
子策略是你附加在特定规则上的规则集。如果该规则被匹配,则在附于该规则的子策略中继续检查。如果该规则未被匹配,则跳过该子策略。例如,一个子策略可以管理一个网段或分支办公室。
策略层和子策略可以由特定的管理员根据其权限配置文件进行管理。
使用安全区对象工作
安全区对象是一个逻辑对象,代表指定接口后面的网络。例如,一个内部区域对象代表所有内部网关接口后面的内部网络IP地址。
你可以使用安全区对象来创建一个通用的安全策略,减少规则库中必要的规则数量。该安全策略可应用于众多Check Point网关。安全区的解析是由SmartConsole Check Point GUI应用程序用于管理Check Point环境 - 配置安全策略、配置设备、监控产品和事件、安装更新等。中Check Point设备网关对象上的实际关联完成的。
工作流程
-
将一个安全区对象与网关对象中的一个接口联系起来。
-
在规则中使用安全区对象。
-
安装策略。
要将安全区对象与网关对象中的一个接口联系起来:
-
在左侧导航面板中,单击网关和服务器。
-
双击一个Check Point设备网关对象。
-
从拓扑结构中,选择适用的接口并点击编辑。
-
在“安全区”一栏,选择一个预定义的安全区。
-
可选操作- 如果你想创建一个新的安全区,点击“新建”,输入信息,并点击“确定”。
-
单击“确定”关闭接口资产窗口。
-
单击“确定”关闭对象窗口。
要创建一个带有安全区的规则:
在你将安全区对象与网关上的适用接口关联后,你可以在规则中使用它。要创建带有安全区的规则,只需将安全区对象添加到来源或目的地单元格。
例如,要创建一个允许内部用户访问任何外部网络的规则,就用这些字段创建一个规则:
|
策略区域 |
值 |
|---|---|
|
源 |
内部区域 |
|
目的地 |
外部区域 |
|
操作 |
接受 |
|
安装于 |
其中一个地方:
|
-
在左侧导航面板中,点击“安全策略”。
-
在顶部,单击访问控制>策略。
-
使用添加规则按钮在规则库中定位规则。
-
点击新规则行中的 "名称",并输入适用的文本信息。
-
在新规则的来源栏中,点击"+"图标,并从列表中选择 "内部区域"。
-
在新规则的目标栏中,点击"+"图标,并从列表中选择ExternalZone。
-
在新规则的行为栏中,选择“接受”。
-
在新规则的 "安装在"栏中,点击"+"图标,选择适用的对象。
-
发布 SmartConsole 会话。
与可更新的对象一起工作
可更新的对象是代表外部服务的网络对象 代表公司拓扑结构不同部分的逻辑对象 - 电脑、IP地址、流量协议等。管理员在安全策略中使用这些对象。,如Office 365、AWS、地理位置等。您可以从可更新的对象列表中选择。类别取决于在线服务的更新。
外部服务提供商公布 IP 地址或域名或两者的清单,以允许访问其服务。这些名单是动态更新的。可更新的对象从这些公布的供应商名单中获得其内容,Check Point 将其上传到 Check Point 云。每次提供商更新列表时,可更新的对象会在安全网关 专用的Check Point服务器运行Check Point软件来检查流量并为连接的网络资源实施安全策略。上自动更新。不需要安装策略就能使更新生效。
更多信息,请参阅Quantum Security Management Administration Guide你的版本> 章节管理对象> 节网络对象类型> 节可更新对象。
|
|
备注:
|
已知限制:
-
当使用外部代理时,以可更新对象
代表外部服务的网络对象,例如Microsoft 365、AWS、地理位置等。为目标的规则在 HTTP/HTTPS 流量中被忽略。 -
可更新的对象不能用于威胁预防策略。
-
可更新的对象不能在 HTTPS 检查策略中使用。
安装安全策略
使用此程序准备策略,以便在网关连接时自动安装。
|
|
注意 - 如果Quantum Spark设备是物理设置和配置的,当你成功完成这一步时,策略被推送到网关。有关可能状态的列表,请参阅查看策略安装状态。 |
在安装策略过程结束时,尚未设置的Quantum Spark设备的策略状态是"等待第一次连接"。这意味着安全管理服务器 Check Point Security Management Server或多域Security Management Server。和Quantum Spark设备之间还没有建立可信的通信。当网关连接时,它建立了信任,并试图自动安装策略。
要在SmartProvisioning GUI中安装一个安全策略:
-
单击菜单中的策略>安装。
打开 "安装策略"窗口。
-
选择安装目标 - Quantum Spark设备安全网关,在其上安装策略和策略组件(如网络安全或QoS)。
默认情况下,所有由安全管理服务器管理的网关都可供选择。
-
在安装模式部分,选择安全策略的安装方式:
-
在每个选定的网关上独立进行 - 对于管理第一部署模式的设备,只应使用此选项。
-
如果在所有选定的网关上失败,就不要在相同版本的网关上安装。
-
-
单击“确定”。
重要提示- 如果设备定义的Quantum Spark设备对象未设置并且处于等待首次连接状态,你将看到此消息:安装已成功完成。这意味着该策略已成功安装。
继续用策略安装和状态栏跟踪安全策略的安装状态。
查看策略安装状态
你可以通过显示在SmartConsole窗口底部的状态栏看到被管理网关的安装状态。状态栏显示有多少网关处于待定或失败模式。
-
待定 - 处于等待首次连接状态或处于待定状态的网关(详细解释见下文)。
-
失败 - 未能安装该策略的网关。
每次网关试图安装策略或试图连接到安全管理服务器时,状态栏都会动态更新。当这些事件发生时,这些行动的结果也会显示在SmartConsole弹出的通知 UserCheck规则操作可阻止流量和文件并显示UserCheck消息。用户可以同意允许该活动。气球中。你可以配置这些通知。
要监控每个网关上最后安装的策略的状态,可以使用策略安装状态窗口。
该窗口有两个部分。顶端部分显示网关列表和有关已安装策略的状态信息。你可以使用过滤字段,通过定义每个字段的适用标准,只看到感兴趣的策略,并隐藏其他信息。在你应用过滤标准后,只有符合所选标准的条目才会显示出来。如果系统记录了来自未知网关的可信通信(SIC)尝试,则在过滤器字段下方会打开一个黄色状态栏。
底部显示你在网关列表中选择的一行的信息(发生的错误,策略的日期,验证警告)。如果有一个黄色的状态栏,点击“显示详情”,其窗口会显示试图连接到安全管理服务器的未知网关的信息。
|
图标 |
策略状况 |
说明 |
|---|---|---|
|
|
成功 |
策略安装成功。 |
|
|
成功 |
策略安装成功,但有验证警告。 |
|
|
等待首次连接 |
配置了一个Quantum Spark设备对象,但网关没有连接到安全管理服务器(没有建立初始信任)。
|
|
|
等待首次连接 |
同上,警告说建立信任的尝试失败或有验证警告。 |
|
|
待处理 |
在网关成功连接到安全管理服务器并检索到该策略之前,该策略一直处于待定状态。只有在至少有一次成功的策略安装时才会显示这一状态。例如,当安全管理服务器连接到网关时出现问题(网关无法接收通信,如在NAT后面)。 |
|
|
待处理 |
与上述相同,但有验证警告。 |
|
|
警告 |
警告 |
|
|
信息 |
信息 |
|
|
失败 |
由于验证错误,策略没有安装。 |
|
|
失败 |
策略安装失败。 |
你可以通过这些方式访问 "策略安装状态 "窗口:
-
从菜单栏中 - 单击策略>策略安装状态。
-
从工具栏 - 点击策略安装状态图标。
-
从状态栏 - 点击失败或待定。策略安装状态窗口的内容根据点击的链接进行过滤显示。
-
从通知气球 - 点击气球中的“查看详情”。
在第三方NAT设备后面设置管理服务器IP地址
当你使用"管理优先 "部署方案时,策略已准备好在设备配置时被设备获取。
在每台设备的首次配置中,安全管理服务器的可路由IP地址被手动配置,以创建第一个连接。
当设备和安全管理服务器之间建立SIC时,策略被首次获取。然后,一个自动机制计算出安全管理服务器的可路由IP地址,以便定期进行策略获取尝试。但是,如果安全管理服务器位于第三方NAT设备后面,自动机制就会失效。
在这种情况下,你可以手动确定安全管理服务器的可路由IP地址,而不仅仅是第一次连接。你可以要求设备总是尝试用手动配置的IP地址进行连接。你可以从首次配置向导 - 安全管理服务器连接页面(选择始终使用此IP地址并输入IP地址)或从 WebUI主页> 安全管理服务器页面进行配置。