接口类型
物理接口
物理接口是指设备的硬件接口,其参数包括:接口名称、接口状态、接口当前工作模式、接口自协商模式等;可以根据MAC地址表进行数据帧转发及三层路由转发功能。
子接口
子接口的名称是它来源的接口名字的扩展,例如ge0.2。DBAPPOS支持以下类型子接口:以太网子接口、聚合子接口。
网桥接口
网桥接口是指设备的物理接口工作在网桥模式,负责二层(数据链路层)报文的转发;其中一个网口收到的报文会经FDB表转发或被复制给其他网口并发送出去。以使得网口之间的报文能够互相转发。
聚合接口
聚合接口是物理接口的集合, -个聚合可以包含1到16个物理接口。这些物理接口平均分担该聚合接口IP地址的流量负载。因此聚合接口可以提高单个IP地址可用带宽。如果聚合接口中的一个物理接口出现故障,不能工作,其他接口可以继续处理流量,只是可使用的带宽变小了。
隧道接口
Tunnel接口主要用于报文的封装和解封装,常见的封装协议为GRE、IPSec和IPv6IP。隧道接口充当VPN通道的入口。流量通过隧道接口进出VPN通道。隧道接口只能是三层接口。
无线接口
无线接口作为设备的外置接口,支持通过USB口插入4G网卡的方式接入。
下一代防火墙
安全策略基础
策略是网络安全设备的基本功能。默认情况下,安全网关会拒绝设备上所有接口之间的信息传输。而策略则通过策略规则决定从一个接口到另一个接口的哪些流量该被允许,哪些流量该被拒绝。
策略规则的基本元素
策略规则允许或者拒绝从一个(多个)接口到另一个(多个)接口/从一个地址段到另一个地址段的流量。流量的类型、流量的源安全域/源地址与目的安全域/目的地址以及行为构成策略规则的基本元素。
IF_ IN/SIP -流量的源接口或源安全域/源地址。
IF_ OUT /DIP - 流量的目的接口或目的安全域/目的地址。
SERVICE -流量的服务对象。
USER -流量的用户对象。
APPLICATION -流量的应用对象。
SCHEDULE -流量的时间对象。
Action -安全设备在遇到指定类型流量时所做的行为,包括允许( Permit)、 拒绝( Deny )。
ID -安全策略的唯一标识。
安全域
安全域是若干接口所连网络的集合,这些网络中的用户具有相同的安全属性。三层接口可以绑定到安全域(除tunnel口和无线接口外) ,二层接口不能绑定到安全域。
安全策略的匹配原则
策略匹配顺序:
从列表由 上至下(不是按照ID号 大小匹配)根据流量的过滤条件进行匹配,系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。
系统缺省的策略是拒绝所有流量。
调整策略规则位置-WebUl配置
通过WebU|调整策略规则位置,在IPv4安全策略规则编辑页面选择**<优先级>** :
策略老化时间
基于策略的老化时间,缺省情况下,老化时间为0,表示使用各个协议默认的老化时间。
配置对象
对象
对象模块包括以下信息:
地址
服务
应用
时间表
用户
地址
资源管理>地址选中**<IPv4地址对象>项,点击[新建]按钮,创建IPv4地址对象。
资源管理>地址选中<地址组对象>项,点击[新建]**按钮,创建地址组对象。
服务-预定义服务
资源管理>服务选中**<预定义服务>**项 用户可以查看系统预定义服务
服务-自定义服务
资源管理>服务选中**<自定义服务>项,点击[新建]按钮,创建服务对象。
资源管理>应用>应用选中<应用对象>**项
资源管理>时间表