使用防火牆存取政策

防火牆政策

存取原則標籤>防火牆部分 >原則頁面中可管理防火牆規則庫關閉 在指定安全原則中設定的所有規則。同義詞:規則庫。。您可以創建、編輯、刪除、啟用或禁用規則關閉 規則庫中的一組流量參數和其他條件,可對通訊工作階段採取指定動作。

存取原則標籤>刀鋒控制頁面中可決定基本防火牆的原則模式:

規則庫分為兩個部分。這兩個部分中的每一個都代表一個不同的安全政策——您的組織如何瀏覽 Internet(您的組織外部的世界)以及訪問您的組織資源的安全政策(從您的組織內部和外部)。頁面頂部有三個連結,可讓您同時查看兩個部分或僅查看其中一個部分。

  • 對 Internet 的傳出訪問 - 適用於所有傳出流量規則。在此規則庫中,您可以確定在組織外部訪問 Internet 的政策。通常這裡的政策是允許基本流量,但您可以根據公司的判斷阻止應用程式和 URL。在存取原則>防火牆刀鋒控制頁面中可設定預設原則來封鎖應用程式和網址。此頁面允許您新增手動規則作為預設政策的例外。您還可以 自定義在特定網站被規則庫阻止或接受時向使用者顯示的訊息 (見下文)。您還可以對應用程式或 URL 使用 Ask 操作,讓最終使用者確定瀏覽是否用於與工作相關的目的。例如,我們建議您新增一個規則,在瀏覽到未分類的 URL 之前詢問使用者。這樣的規則可以破壞可能的殭屍攻擊。

  • 傳入、內部和 VPN 流量 - 適用於所有傳入、內部和 VPN 流量規則。在此規則庫中,您可以確定訪問組織資源的政策。所有內部網路、無線網路 外部 VPN 站點都被視為您組織的一部分,並且在此規則庫中檢查到它們的流量。通常這裡的政策是阻止來自組織外部的流量進入它並允許組織內部的流量。

    在標準模式下,您可以在各個頁面中設定更細化的預設政策:

    • 預設情況下,可以阻止或接受從特定來來源進入您的組織的流量 。這個設定可以在每個特定來源的編輯模式中找到:

    • 外部 VPN 網站:在VPN >站到站刀鋒控制頁面設定預設存取。

    • 遠端存取 VPN 使用者:從VPN >遠端存取刀片控制頁面設定預設存取。

    • 無線網路:在裝置>無線網路頁面中,從各無線網路編輯視窗的存取標籤設定各無線網路的預設存取權。

    • DMZ 網路:從裝置>本機網路頁面中 DMZ 物件的編輯視窗設定預設存取。

      注意 - 1530 / 1550 設備不支援 DMZ。

  • 到定義的伺服器對象之流量設定同存取原則>防火牆伺服器中各伺服器的編輯視窗中所設。

    此頁面允許您新增手動規則作為預設政策的例外。在嚴格模式下,預設政策會阻止所有內容,您只能通過手動規則設定訪問權限。

在每個部分中有以下部分:

  • 手動規則 - 您手動創建的規則。

  • 自動產生的規則 - 系統根據初始防火牆政策模式(嚴格或標準)確定的規則,如上所述。這些規則也受到系統中其他物件的影響。例如,當您新增服務器時,相應的規則會新增到傳入、內部和 VPN 流量部分。

這些是管理防火牆存取政策規則的區域:

規則庫區域

描述

編號

防火牆規則庫中的規則編號。

名稱

規則名稱。

點擊次數關閉 在規則庫中,符合特定規則的連線數。

顯示點擊計數,即存取規則庫中各安全性規則在指定期間內符合的連線數:

  • 每條規則的點次數

  • 每條規則的點擊率

  • 相對點擊數等級:零(0 次點擊)、低(低於點擊數範圍的 10%)、中(介於 10% 至 70% 之間)、高(介於 70% 至 90% 之間)和非常高(高於 90%)。如欲檢視相對級別,請將滑鼠懸停在點擊列的數字左側

  • 每條規則初次點擊的時間

  • 每條規則的最後一次點擊的時間

選擇時間範圍(1、7 或 30 天):

傳出網際網路存取規則傳入、內部和 VPN 流量的最上面工具列中, 按一下 更多 > 點擊次數設定>點擊次數報告時間範圍

注意事項:天數為日曆天,從當地時間 0:00 開始。

來源

發起連線的 IP 地址、網路物件關閉 代表企業拓撲不同部分的邏輯物件-電腦、IP位址、流量通訊協定等。系統管理員會在安全性原則中使用這些物件。使用者群組關閉 指定有相關職責的使用者群組。或網域物件。

從 R81.10.15 開始,同一條規則中最多可有 100 個來源。

目的

作為連線目標的 IP 地址或網路物件。

從 R81.10.15 開始,同一條規則中最多可有 100 個目的地。

應用程式和服務

被接受或封鎖的應用程式、網站和Web服務。您可以按常見應用程式、類別、自定義應用程式、URL 或群組關閉 有共用屬性的物件集合,例如使用者帳戶。來過濾列表。更多相關資訊請參閱管理應用程式和網址.

此區域僅顯示在對 Internet 的傳出訪問部分中。

從 R81.10.15 開始,同一條規則中最多可以有 100 個應用程式和服務。

動作

當流量與規則相符時執行的防火牆操作:接受封鎖

對於傳出流量規則,除了常規的阻止或接受操作外,您還可以使用 自定義訊息 選項來設定“詢問”或“通知”操作。

可以為這些操作類型設定顯示的訊息:

  • 接受並通知

  • 封鎖並通知

  • 詢問:最終使用者決定流量是用於工作目的還是個人目的。請參閱下面的 自定義訊息 部分。使用者被重指向到顯示訊息或問題的門戶。

如果為規則設定了時間範圍,則會顯示時鐘圖示。

日誌

當流量匹配規則時執行的追蹤和日誌記錄操作。

註解 /
自動產生的規則

緊接在上述區域下方顯示的詳細訊息:

  • 您在創建規則時輸入的註解。

  • 系統自動產生的規則。您可以單擊註解中的物件名稱連結以打開其設定選項卡。

「詢問」操作

傳出的規則庫提供了設定 詢問 操作的選項,而不僅僅是允許或阻止基於瀏覽器的應用程式。有幾種常用的情況,這很有用:

  • 此操作可用於組織中通常不允許的流量,但您確實希望它可用於與工作相關的目的。最終使用者會被詢問是否需要瀏覽工作相關的內容,並且可以繼續瀏覽而無需管理者更改此單個事件的存取政策。例如,訪問 Facebook 的流量通常會被阻止,但您希望您的人力資源部門能夠出於工作相關目的訪問它。

  • 此針對未分類 URL 的流量的操作還可以針對設法安裝在您的組織內部的惡意軟體關閉 偵測、刪除並防止惡意軟體危害電腦系統或資料的軟體。提供安全保護。此類惡意軟體會被 Ask 操作阻止。

設定訪問規則

要創建新的手動定義的訪問規則:

  1. 單擊 新增旁邊的箭頭。當頁面顯示兩個規則庫時,單擊相應表中的 新增

  2. 單擊規則的可用定位選項之一:

    最高規則最低規則所選之上所選之下

    新增規則 視窗打開。它以兩種方式顯示規則區域:

    • 具有預設值的規則摘要語句。

    • 表中包含規則庫區域的表。

  3. 單擊規則摘要或表格單元格中的連結以選擇填入規則庫區域的網路物件或選項。請參閱上面的說明。

    注意 - 應用程式 區域僅適用於傳出規則。

    來源 區域中,您可以選擇輸入手動 IP 地址(網路)、網路物件、網域物件或使用者群組(要設定基於使用者的政策,請確保使用者識別blade已啟用)。使用者可以在設備上本地定義,也可以在外部 Active Directory 中定義。

    更多詳細資訊,請參閱存取原則>使用者感知刀鋒控制頁面。

  4. 寫註解 區域中,輸入描述規則的說明內容。這顯示為存取政策中規則下方的註解。

  5. 要將規則限制在特定時間範圍內,請選擇 僅在這段時間內套用 並選擇開始和結束時間。

  6. 在傳出規則中,要限制下載流量速率,請選擇 將應用程式的下載流量限制為 並輸入 Kpbs 速率。

  7. 在傳出規則中,要限制上傳流量速率,請選擇 將應用程式的上傳流量限制為 並輸入 Kpbs 速率。

  8. 在傳入規則中,要僅匹配加密的 VPN 流量,請選擇 Match only for encrypted traffic

  9. 點擊套用

    該規則被新增到存取政策的傳出或傳入部分。

要clone規則:

clone規則以新增與已存在的規則幾乎相同的規則。

  1. 選擇一個規則並點擊 clone

  2. 根據需要編輯區域。

  3. 點擊套用

要編輯規則:

注意 - 對於存取政策規則,您只能編輯自動產生規則的追蹤選項。

  1. 選擇一個規則並點擊 編輯

  2. 根據需要編輯區域。

  3. 點擊套用

要刪除規則:

  1. 選擇一個規則並點擊 刪除

  2. 在確認訊息中單擊

啟用或禁用規則:

  • 要禁用已新增到規則庫中的手動定義規則,請選擇該規則並單擊 禁用

  • 要啟用您之前禁用的手動定義規則,請選擇該規則並點擊 啟用

要更改規則順序:

  1. 選擇要移動的規則。

  2. 將其拖放到所需位置。

    注意 - 您只能更改手動定義規則的順序。

可更新物件

可更新物件是代表外部服務的網路物件,例如 Office 365、AWS、地理位置等。您可以從可更新物件列表中進行選擇。類別取決於線上服務更新。

外部服務提供商發布 IP 位址或網域或兩者的清單以允許訪問他們的服務。這些清單會動態更新。可更新物件從這些已發布的供應商清單中獲取內容,Check Point 將其上傳到 Check Point 雲端。每次供應商更改清單時,可更新物件都會在安全閘道關閉 專用的Check Point伺服器,可執行Check Point軟體,檢查流量並執行連線網路資源的安全性原則。上自動更新。無需安裝政策即可使更新生效。

有關當前支援的物件的列表,請參閱 sk173416.

您可以導入可更新物件以在防火牆政策規則中使用。

要導入可更新物件:

  1. 「防火牆訪問政策」頁面的「規則庫」中,點擊新增。如有必要,請指定規則順序。

  2. 點擊可更新的物件 ,接著選擇欲更新的物件。

  3. 點擊匯入

  4. 編輯規則,使來源和目標使用指定的國家/地區。

  5. 選擇行動日誌

  6. 選填 - 輸入註解。

  7. 選擇 - 加入時間或流量等限制。

  8. 點擊套用.

自定義訊息

您可以自定義訊息以使安全閘道與使用者通信。這有助於使用者了解某些網站違反了公司的安全政策。它還告知使用者有關網站和應用程式不斷變化的網際網路政策。當您設定此類訊息時,當使用訊息相關操作之一在規則上匹配流量時,使用者的 Internet 瀏覽器會在新視窗中顯示訊息。

這些是操作選項及其相關通知:

規則庫操作

通知

接受並通知

向使用者顯示訊息性訊息。使用者可以繼續申請或取消申請。

封鎖並通知

向使用者顯示訊息並阻止應用程式請求。

向使用者顯示一條訊息並詢問他們是否要繼續請求。有關更多詳細訊息,請參見上文。

要自定義訊息:

  1. 單擊 傳出訪問 Internet 部分中的 自定義訊息

  2. 在每個選項卡中設定選項:

    • 接受並通知

    • 封鎖並通知

  3. 為每個通知設定適用的區域:

    • 標題 - 保留預設值或輸入不同的標題。

    • 主題 - 保留預設值或輸入不同的主題。

    • 內文 - 保留預設值或輸入不同的內文。您可以單擊 可選關鍵字 以獲取可新增到內文中的關鍵字列表,以便為使用者提供更多訊息。

    • 忽略文本 (僅適用於詢問)- 這是詢問使用者訊息的確認訊息。保留預設文本或輸入不同的文本

    • 使用者必須輸入原因 (僅適用於詢問)- 如果使用者必須為其活動輸入解釋,請選中此複選框。使用者訊息包含用於輸入原因的文字方塊。

    • 倒退操作 - 當通知無法在導致通知的瀏覽器或應用程式中顯示時,選擇替代操作(阻止或接受),尤其是在非 Web 應用程式中。如果確定通知無法在瀏覽器或應用程式中顯示,則行為是:

      • 如果倒退操作是 接受 - 使用者可以訪問網站或應用程序。

      • 如果倒退操作是 阻止 - 安全閘道嘗試在導致通知的應用程式中顯示通知。如果不能,則網站或應用程式會被阻止,使用者也不會看到通知。

    • 頻率 - 您可以設定使用者收到有關存取政策不允許的應用程式的通知的次數。選項包括:

      • 每天一次

      • 每週一次

      • 每月一次

        例如,在應用程式 - 社交網路類別中包含的規則中,如果您選擇 每天一次 作為頻率,則多次訪問 Facebook 的使用者會收到一個通知。

    • 將使用者重指向到 URL- 您可以將使用者重指向到外部門戶,而不是閘道。在 URL 區域中,輸入外部門戶的 URL。指定的 URL 可以是外部系統。它從使用者那裡獲取身份驗證憑據,例如使用者名或密碼。它將此訊息發送到閘道。僅適用於阻止和資訊通知。

  4. 單擊 自定義 選項卡可為設備顯示的所有門戶自定義標籤(使用者識別使用的熱點關閉 以連線到網際網路服務供應商連線的路由器,提供可存取網際網路的無線區域網路的區域。和強制門戶)。單擊 上傳,瀏覽到標籤文件並單擊 套用。如有必要,您可以通過單擊 使用預設值恢復為預設標籤。

  5. 點擊套用