下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.48
{{sendMatomoQuery("下一代防火墙AF","策略配置")}}

策略配置

更新时间:2022-06-17

策略配置用于新增、修改和调整应用控制策略。鼠标移到策略组名上,相应策略组后方显示[…]的标示,点击该标识,管理员可对策略组进行相应编辑。

  1. 策略配置功能参数说明表

操作 说明
删除 可删除当前的策略组。
编辑 可重新编辑该策略组名称。
上方插入 可以当前策略组上方插入一条新的策略组。
置顶 把当前策略组的顺序移至最上方。
上移 可对当前策略组的顺序上移一条。
下移 可对当前策略组的顺序下移一条。
移动到自定位置 可把当前策略组顺序移动到一条指定的位置。

在策略配置页面点击<新增>,进入[新增应用控制策略]页面,设置如下。

基础信息设置:

名称:定义规则名称。

状态:设置该策略为启用或者禁用状态。

描述:非必选项,添加规则的描述。

策略组:定义规则所属的策略组。

策略位置:设置策略的优先级,可以设置该策略在某条策略之前或者之后。

标签:非必选项,定义规则的标签,可用做显示区域,及过滤筛选时使用。

源:

源区域:选择需要控制的数据的源区域,默认为“any”区域,即代表所有区域。

源地址:选择需要控制的源IP地址或者用户。

用户/组:是从[用户认证/用户管理/组/用户]的组织结构中调用的用户信息。

目的:

目的区域:选择需要控制的数据的目的区域。默认为“any”区域,即代表所有区域。

目的地址:选择需要控制的数据的目的IP组。如果要针对内网用户上外网数据进行控制,则此处目标IP一般可以选择“全部”。

服务:选择需要做控制的服务。该处是调用[对象/服务]中定义的服务。

应用:选择需要做控制的应用。该处是调用[对象/内容识别库/应用识别库]里的应用特征。

服务和应用都需要填写,两者都满足才能匹配上该策略。

生效条件设置:

动作选项:设置满足上述定义的条件的数据包是放行还是丢弃。

生效时间:过滤条件,在指定的时间内过滤规则才生效。该处是调用[对象/时间计划]中定义好的时间对象。

高级选项:点击<设置>进去[高级选项]界面。如下图所示。

长连接:此功能仅用于支持访问有长连接请求的特殊服务器,使连接请求不受防火墙连接超时的影响,开启此功能会使连接释放变慢,时间可以选择最短1天、最长15天,请谨慎使用。

日志选项:默认未开启应用控制日志记录,需要提前在[系统/日志设置]中,开启“应用控制日志”,同时选择保存应用控制日志的存储位置。勾选“记录日志”,则把控制行为记录到所选择的存储位置中。应用控制日志过大将导致系统磁盘读写缓慢,建议使用外置数据中心或syslog存储该日志。

点击<更多操作>选择[辅助工具]可配置失效策略检查、模拟策略匹配、标签管理和策略变更原因记录。

标签管理:可以设置标签的相关操作,包括新增、编辑和删除等操作。如下图所示。

策略变更原因记录:启用后,将在新增或修改策略时显示变更原因输入框,方便记录变更原因,未启用则只自动记录变更内容和类型,点击<前往查看>会进入策略生命周期管理页面。

模拟策略匹配:可以根据五元组来模拟策略的匹配情况。如下图所示。

失效策略检查:可以检查已失效的策略。

实时冲突策略检查:在新增、修改和移动策略时,实时对策略的冲突进行检测并提醒。该功能启用后,可能在策略数量过多时造成页面加载延迟。

应用控制策略配置案例

某企业不允许研发部门的人员在上班时间使用IM聊天工具,当有研发人员使用IM工具,设备会拒绝,可在AF上配置应用控制策略。

操作步骤

  1. 在[策略/应用控制策略]点击<新增>进入[应用控制策略]界面。

基础信息的相关参数配置如下:

  • 名称:不允许使用IM工具

  • 状态:选择启用

  • 描述:可自定义,如“不允许研发部门的人员使用IM”

  • 策略组:选择默认策略组

  • 策略位置:设置优先级在限制下载P2P之前。

  • 标签:可自定义,也可选择默认。

  1. 源区域选择自定义的内网区,区域的定义可以参考区域配置,源地址选择自定义的研发部,用户组的定义可以参考用户管理配置。

当前策略中选择了用户组,需要启用认证功能,且该用户已配置相关认证策略,如未启用认证策略,会导致策略不生效。

  1. 配置目的信息,目的区域选择自定义的外网区, 目的地址选择全部,服务选择any,应用选择IM。

  1. 生效条件设置,动作选择拒绝,生效时间选择自定义的上班时间。如需要查看日志,需要在高级选项的设置,勾选记录日志。

  1. 点击<确定>完成配置。

  2. 当研发部门的人员使用终端登陆IM工具,会出现网络异常,不能正常登陆该IM工具,访问其他网址不受影响。

  3. 可在[监控/日志/行为日志]中可查询到拒绝的日志的详细信息。