策略简介
基于全局的策略,没有方向与区域的概念(牵一发而动全身)
只要匹配源、目的地流量就进行策略匹配与过滤
策略配置更加灵活
到达防火墙的管理流量,如https默认允许,穿越防火墙的流量默认拒绝
隐含策略和显示策略·
隐含策略:防火墙缺省是有策略的,如https的链接,这些策略都是隐含策略,不显示;隐含策略分以下几种
1).First Implied Rule:第一个隐含规则,不能编辑、删除,不能将显示策略放在其之前;
2).Before Last Implied Rules:最后一个显式策略之前的隐含策略;(防火墙发起的流量默认放行)
3).Last Implied Rules:最后一条隐含策略;
4).Implied Drop Rule:丢弃所有数据包的隐含策略,不记录日志;
显示策略:手动设置的策略就是显式策略;
红色位置是手动配置的显示策略,位于First Implied Rule和Before Last Implied Rules之间
建议配置的特殊策略
Stealth:即到达防火墙的管理流量,除管理流量全部拒绝,并Log记录;
CleanUP:即丢弃所有未匹配之前策略的流量;一般建议在每个策略的最后部分,明确规定拒绝未匹配之前策略的所有流量,并日志记录(显示策略)
配置策略时,建议精确的拒绝或允许流量,防止策略之间的冲突;
越精细(或严格)的策略建议越靠前,以免发生策略冲突
最后的隐含拒绝所有的策略没有日志,这时可以在此基础上手动配置一条显示拒绝所有的策略(目的是为了显示日志,便于排错),在显示策略的最后一条配置显示拒绝所有策略·
规则执行的顺序:
- First Implied Rule: 你不能编辑或者删除该规则,也不能将显式规则至于它之前.
- Explicit Rules: 你创建的规则.
- Before Last Implied Rules: 这些隐含规则应用在最后一条显式规则之前.
- Last Explicit Rule: 建议您使用 Cleanup 规则作为最后一条显式策略.
- Last Implied Rules: 全局属性中配置的Last隐含规则.
- Implied Drop Rule: 丢弃所有数据包,并且不记录日志.
扫一扫
1338
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
