防火墙访问策略使用说明

防火墙策略

访问策略 > 防火墙策略页面,你可以管理防火墙规则库关闭 在一个特定的安全策略中配置的所有规则。同义词:规则基地。。你可以创建、编辑、删除、启用或停用规则关闭 规则库中的一组流量参数和其他条件,导致对一个通信会话采取指定的行动。

访问策略 > 防火墙刀片控制页面,你可确定基本防火墙策略模式:

  • "标准"模式——该页显示了根据默认策略的配置自动生成的规则和作为该默认策略例外的手动定义的规则。

  • 严格”模式——默认情况下所有的访问都被阻止,这个页面是为你的关闭 一个对象的集合,如用户账户,具有共享属性。织配置访问规则的唯一方法。

规则库分为两部分。这两部分分别代表不同的安全策略关闭 一组安全规则的集合,用于控制网络流量,并通过数据包检查强制执行数据保护和资源访问的组织规则。 - 你的组织如何浏览互联网(你的组织以外的世界)和访问你的组织资源的安全策略(从你的组织内部和外部)。你可以从页面顶部的三个链接查看这两部分的信息。

  • 外出访问互联网- 对于所有外出的流量规则。在这个规则库中,你要确定在你的组织之外访问互联网的策略。通常情况下,这里的策略是允许基本的流量,但你可以根据你的公司的决定来阻止应用程序和URL。在访问策略 > 防火墙刀片控制页面,你可以配置默认策略来阻止应用程序和URL。这个页面让你添加手动规则作为默认策略的例外。你还可以自定义信息,当规则库阻止或接受指定网站时,系统会向用户显示此信息(见下文)。你也可以对应用程序或URL进行“通知”操作,让终端用户确定相关浏览是否出于工作目的。例如,我们建议你添加一条规则,在浏览未分类的URL之前通知关闭 UserCheck规则动作,阻止流量和文件,并显示UserCheck信息。用户可以同意允许该活动。用户。这样的规则可以打乱可能的僵尸网络攻击。

  • 传入、内部和VPN流量- 用于所有传入、内部和VPN流量规则。在这个规则库中,你决定访问你的组织资源的策略。所有的内部网络、无线网络外部VPN站点都被认为是你的组织的一部分,在这个规则库中对它们的流量进行检查。通常情况下,这里的策略是阻止来自你的组织以外的流量进入,并允许你的组织内的流量。

    在标准模式下,你可以在各个页面上配置更细化的默认策略。

    • 从特定来源进入你的组织的流量可以被阻止或默认接受。这种配置可以在每个具体的来源的编辑模式中找到。

    • 外部VPN站点 - 配置来自/到VPN的默认访问> 站点到站点的刀片控制页面。

    • 远程访问VPN关闭 远程访问客户端(如端点安全VPN)和安全网关之间的加密隧道。用户 - 从VPN > 远程访问刀片控制页面配置默认访问。

    • 无线网络--在 "设备"> "无线网络"页面的每个无线网络编辑窗口的 "访问 "选项卡中,为每个无线网络配置默认访问。

    • DMZ网络 - 在设备 > 本地网络页面的DMZ对象编辑窗口中配置默认访问。

      注意- 1530 / 1550设备不支持DMZ。

  • 访问策略 > 防火墙服务器页面中每个服务器的编辑窗口中配置的定义的服务器对象的流量

    这个页面让你添加手动规则作为默认策略的例外。在严格模式下,默认策略阻止一切,你只能通过手动规则配置访问。

每部分都包含以下内容:

  • 手动规则- 你手动创建的规则。

  • 自动生成的规则- 系统根据初始防火墙策略模式(严格或标准)确定的规则,如上所述。这些规则也受到系统中其他元素的影响。例如,当你添加一个服务器时,一个相应的规则就会被添加到传入、内部和VPN流量部分。

这些是管理防火墙访问策略的规则的字段。

规则基础字段

描述

编号

防火墙规则库中的规则编号。

来源

启动连接的IP地址、网络对象关闭 代表企业拓扑结构不同部分的逻辑对象--计算机、IP地址、流量协议等。管理员在安全策略中使用这些对象。用户组关闭 具有相关职责的命名的用户组。或域对象。

目的地

作为连接目标的IP地址或网络对象。

应用

接受或阻止的应用程序或网站。你可以通过普通应用程序、类别、自定义定义的应用程序、URL或组来过滤列表。欲了解更多信息,请参阅“管理应用程序&URLs”部分。

这个字段只显示在向外访问互联网部分。

服务

接受或阻止的网络服务类型。

行动

当流量与规则匹配时进行的防火墙操作。

对于流出的流量规则,除了常规的阻止或接受动作之外,你还可以使用自定义消息选项来配置 "询问 "或 "通知 "动作。

所显示的信息可以设置以下这些行动类型:接受并告知、阻止并告知或通知。“通知”动作让终端用户决定这个流量是用于工作还是个人用途。参见下面的 "自定义信息"部分。用户被重定向到一个显示信息或问题的门户。

如果为规则设置了时间范围,则会显示一个时钟图标。

日志

当流量与规则相匹配时,所做的跟踪和记录动作。

备注/
自动生成的规则

位于上述字段的下方,显示了以下信息:

  • 你在创建规则时输入的备注。

  • 系统自动生成的规则。你可以点击备注中的对象名称链接,打开其配置标签。

"通知 "动作

对于基于浏览器的应用程序,出站规则库提供了设置通知动作的选项,而不是仅仅允许或阻止。以下展示了几个很有用的常用案例:

  • 这个动作可用于你的组织中通常不允许的流量,但你确实希望它可用于工作相关的目的。终端用户被问及是否需要为工作相关目的进行浏览,并可以继续,而不需要管理员为这一单一事件对访问策略进行修改。例如,Facebook的流量一般是被拦截的,但你希望你的人力资源部门能够为工作相关的目的访问它。

  • 对未分类的URL的流量采取这种响应,也可以对设法在你的组织内安装的恶意软件提供安全保障。这样的恶意软件能被通知动作阻止。

配置访问规则

要创建一个新的手动定义的访问规则:

  1. 点击 "新建"旁边的箭头。当页面显示两个规则库时,在相应的表格中点击新建

  2. 点击该规则的一个可用的定位选项:

    在顶部在底部、在 选定的上方在选定的下方

    打开 "添加规则"窗口。它以两种方式显示规则字段:

    • 一个带有默认值的规则总结句。

    • 一张表格中的规则基础字段。

  3. 点击规则摘要中的链接或表格单元,选择网络对象或选项,填写规则基础字段。详情请参见上面的描述。

    注意 - “应用”字段只适用于传出规则。

    在“来源”字段中,你可以选择输入手动IP地址(网络)、网络对象、域对象或用户组(要配置基于用户的策略,确保用户感知关闭 Check Point的一个软件刀片,旨在将用户与IP地址联系起来,用于记录和控制。刀片被激活)。用户可以在设备上本地定义,也可以在外部的活动目录中定义。

    欲了解更多详情,请参阅访问策略 > 用户感知刀片控制页面。

  4. 在“填写备注”一栏,输入描述该规则的可选文本。这在访问策略中显示为规则下面的备注。

  5. 要把规则限制在某一时间范围内,选择“只在这段时间内应用”,并选择开始和结束时间。

  6. 在传出规则中,要限制下载流量的速率,选择“限制应用程序的下载流量”,并输入Kpbs速率。

  7. 在传出规则中,要限制上传流量的速率,选择“限制应用程序的上传流量”,并输入Kpbs速率。

  8. 在传入规则中,要只匹配加密的VPN流量,选择“只匹配加密的流量”。

  9. 点击“应用

    该规则被添加到访问策略的传出或传入部分。

要克隆一条规则:

克隆一条规则,增加一条与已经存在的规则几乎相同的规则。

  1. 选择一条规则,然后点击“克隆”。

  2. 根据需要编辑这些字段。

  3. 点击“应用

要编辑一条规则:

注意- 对于访问策略规则,你只能编辑自动生成规则的跟踪选项。

  1. 选择一个规则并点击“编辑”。

  2. 根据需要编辑这些字段。

  3. 点击“应用

要删除一条规则:

  1. 选择一条规则并点击“删除”。

  2. 在确认信息中点击“”。

要启用或停用一条规则:

  • 要禁用添加到规则库中的手动定义的规则,选中该规则并点击“禁用”。

  • 要启用以前禁用的手动定义的规则,选中该规则并点击“启用”。

要改变规则的顺序:

  1. 选择要移动的规则。

  2. 把它拖到必要的位置。

    注意- 你只能改变手动定义的规则的顺序。

可更新的对象

可更新的对象关闭 一个代表外部服务的网络对象,如微软365、AWS、地理位置等。是代表外部服务的网络对象,如Office 365、AWS、地理位置等。您可以从可更新的对象列表中选择。类别取决于在线服务的更新。

外部服务提供商公布 IP 地址或域名或两者的清单,以允许访问其服务。这些名单是动态更新的。可更新的对象从这些公布的供应商名单中获得其内容,Check Point 将其上传到 Check Point 云。每次提供商更新列表时,可更新的对象会在安全网关关闭 一台专门的Check Point服务器,运行Check Point软件,检查流量并为连接的网络资源执行安全策略。上自动更新。不需要安装策略就能使更新生效。

关于当前支持的对象的列表,见sk173416

你可以导入可更新的对象,在防火墙策略规则中使用。

要导入一个可更新的对象:

  1. 在“防火墙访问策略”页面的“规则库”中,单击“新建”。如有必要,请指定规则顺序。

  2. 单击“可更新的对象”,选择想要的对象。

  3. 单击“导入”。

  4. 编辑规则,以便源和目标使用指定的国家/地区。

  5. 选择“行为”和“日志”。

  6. 可选 - 输入备注。

  7. 可选 - 应用限制(如时间或流量限制)。

  8. 点击“应用”.

自定义信息

你可以自定义消息,让安全网关与用户沟通。这有助于用户了解一些网站是违反公司的安全策略的。它还告诉用户有关网站和应用程序的互联网策略的变化。当你配置这种消息时,当流量在使用消息相关操作的规则上被匹配时,用户的互联网浏览器会在一个新窗口中显示这些消息。

以下为操作选项及其相关通知。

规则库动作

通知

接受并告知

向用户显示一个信息性的消息。用户可以继续应用或取消请求。

阻止和告知

向用户显示一条信息,并阻止应用程序的请求。

通知

向用户显示一条信息,通知他们是否要继续请求。更多信息见上文。

要自定义信息:

  1. 单击 "外发访问互联网"部分的 "自定义信息"。

  2. 配置这些标签中的每个选项。

    • 接受并告知

    • 阻止和告知

    • 通知

  3. 配置每个通知的适用字段:

    • 标题- 保持默认或输入一个不同的标题。

    • 主题- 保持默认或输入一个不同的主题。

    • 主体- 保持默认或输入不同的主体文字。你可以点击“可选关键词”,查看你可以在正文中添加的关键词列表,以便给用户提供更多信息。

    • 忽略文本(仅适用于通知) - 这是通知用户信息的确认信息。保持默认文本或输入不同的文本

    • 用户必须输入理由(仅适用于通知) - 如果用户必须为其动作输入解释,请选择此复选框。用户信息包含一个输入原因的文本框。

    • 回退操作- 选择一个替代行动(阻止或接受),当通知不能在引起通知的浏览器或应用程序中显示时,最明显的是在非网络应用中。如果确定通知不能在浏览器或应用程序中显示,其行为是。

      • 如果回退操作为“接受”- 用户可以访问网站或应用程序。

      • 如果回退操作为“阻止”- 安全网关尝试在引起通知的应用程序中显示通知。如果不能,该网站或应用程序将被拦截,而用户不会看到通知。

    • 频率- 你可以设置用户在访问策略不允许的应用程序时得到通知的次数。频率选项有:

      • 每天一次

      • 每周一次

      • 每月一次

        例如,在一个包含应用--社交网络类别的规则中,如果你选择“每天一次”作为频率,一个多次访问Facebook的用户就会每天收到一次通知。

    • 将用户重定向到URL- 你可以将用户重定向到一个外部门户,而不是在网关上。在URL一栏,输入外部门户的URL。指定的URL可以是一个外部系统。它从用户那里获得认证凭证,如用户名或密码。它将这些信息发送到网关。只适用于阻止和通知的通知。

  4. 单击 "自定义"选项卡,为设备显示的所有门户(用户感知使用的热点关闭 一个提供无线局域网络与互联网接入的区域,通过路由器连接到互联网服务提供商的链接。和限制性门户)自定义一个标识。点击“上传”,浏览到标志文件,然后点击“应用”。如果有必要,你可以通过点击“使用默认值”恢复到默认标识。

  5. 点击“应用