添加规则
你在这里: 安全策略 和对象 > 安全策略。
要在安全策略规则中引用 UTM 策略和 AppQoS 配置文件,请根据需要在创建或编辑安全策略规则之前创建 UTM 策略和 AppQoS 配置文件。要创建 UTM 策略,请转至安全服务 > UTM > UTM 策略;要创建 AppQoS 配置文件,请转至网络>应用程序 QoS。
要添加规则:
领域 |
行动 |
---|---|
规则名称 |
输入新规则或策略的名称。 |
规则说明 |
输入安全策略的描述。 |
全球政策 |
启用此选项可指定定义的策略是全局策略,并且不需要区域。 |
源区域 |
要添加源:
|
目标区域 |
要添加目标:
|
行动 |
选择流量符合条件时要执行的操作:
|
高级服务 单击 +。此时将显示“选择高级服务”页面。
注意:
|
|
SSL 代理 |
从列表中选择要与此规则关联的 SSL 代理策略。 |
Utm |
从列表中选择要与此规则关联的 UTM 策略。该列表显示所有可用的 UTM 策略。 如果要创建新的 UTM 策略,请单击 新增。此时将显示创建 UTM 策略页面。有关创建新 UTM 策略的详细信息,请参阅 添加 UTM 策略。 |
IPS 策略 |
从列表中选择 IPS 策略。 |
威胁防御策略 |
从列表中选择配置的威胁防御策略。 |
ICAP 重定向配置文件 |
从列表中选择已配置的 ICAP 重定向配置文件名称。 |
IPsec VPN |
从列表中选择 IPsec VPN 隧道。
注意:
如果选择目标中的动态应用程序,则不支持 IPsec VPN 选项。 |
配对策略名称 |
以相反的方向输入具有相同 IPsec VPN 的策略名称,以创建配对策略。
注意:
如果在目标中选择动态应用程序,则不支持配对策略名称选项。 |
应用程序 QoS 配置文件 |
从列表中选择已配置的 AppQoS 配置文件。 如果要创建新的 AppQoS 配置文件,请单击 新增。此时将显示“添加 AppQoS 配置文件”页面。有关创建新的 AppQoS 配置文件的详细信息,请参阅 添加应用程序 QoS 配置文件。 |
威胁分析 |
从 Juons OS 版本 21.4R1 开始,您可以启用此选项以生成威胁分析源。
注意:
仅当您注册了瞻博网络 ATP 云时,才会显示源。您也可以使用命令 下载 您可以将源地址和目标地址以及源和目标身份添加到威胁源。生成源后,您可以配置其他安全策略以使用这些源来匹配指定的流量并执行策略操作。
|
数据包捕获 |
启用此选项可捕获特定于安全策略规则的未知应用程序流量。 默认情况下,此选项处于禁用状态。启用后,您可以查看数据包捕获 (PCAP) 文件详细信息或在监视器>日志>会话页面上下载 PCAP 文件。 |
规则选项 单击 规则选项。此时将显示“选择规则选项”页。 |
|
测 井 | |
会话启动 |
启用此选项可在创建会话时记录事件。 |
会话结束 |
启用此选项可在会话关闭时记录事件。 |
计数 |
启用此选项可收集使用此策略通过防火墙的数据包、字节数和会话数的统计信息。 指定统计计数。只要流量超过指定的数据包和字节阈值,就会触发告警。
注意:
如果未启用启用计数,则会禁用警报阈值字段。 |
认证
注意:
|
|
将身份验证条目推送到 JIMS |
启用此选项可将处于身份验证成功状态的防火墙身份验证条目推送到瞻博网络身份管理服务器 (JIMS)。这将使 SRX 系列防火墙能够查询 JIMS 以获取 IP/用户映射和设备信息。 这不是强制选项。当在本地 Active Directory 上至少配置了一个域或配置身份管理时,您可以选择它。 |
类型 |
从列表中选择防火墙身份验证类型。可用选项包括:“无”、“直通”、“用户防火墙”和“Web 身份验证”。 |
访问配置文件 |
从列表中选择访问配置文件。
注意:
如果选择身份验证类型作为 Web 身份验证,则不支持此选项。 |
客户端名称 |
输入客户端用户名或客户端用户组名称。
注意:
如果选择身份验证类型作为用户防火墙,则不支持此选项。 |
域 |
从列表中选择必须位于客户端名称中的域名。
注意:
仅当选择身份验证类型作为用户防火墙时,才支持此选项。 |
网页重定向 (http) |
启用此选项可将 HTTP 请求重定向到设备的内部 Web 服务器,方法是向客户端系统发送重定向 HTTP 响应以重新连接到 Web 服务器进行用户身份验证。
注意:
如果选择身份验证类型作为 Web 身份验证,则不支持此选项。 |
强制门户 |
启用此选项可将客户端 HTTP 或 HTTPS 请求重定向到设备的内部 HTTPS Web 服务器。配置 SSL 终止配置文件时,将重定向 HTTPS 客户端请求。
注意:
如果选择身份验证类型作为 Web 身份验证,则不支持此选项。 |
接口 |
为重定向客户端 HTTP 或 HTTPS 请求的 Web 服务器选择一个接口。
注意:
创建策略后,无法对其进行编辑。要编辑接口,请转至网络>连接>接口。 |
IPv4 地址 |
输入重定向客户端 HTTP 或 HTTPS 请求的 Web 服务器的 IPv4 地址。
注意:
创建策略后,无法对其进行编辑。要编辑接口,请转至网络>连接>接口。 |
SSL 终止配置文件 |
从包含 SSL 终止连接设置的列表中选择 SSL 终止配置文件。SSL 终止是 SRX 系列设备充当 SSL 代理服务器,终止来自客户端的 SSL 会话的过程。 要添加新的 SSL 终止配置文件,请执行以下操作: |
仅身份验证浏览器 |
启用此选项可丢弃非浏览器 HTTP 流量,以允许将强制门户呈现给使用浏览器请求访问的未经身份验证的用户。
注意:
如果选择身份验证类型作为 Web 身份验证,则不支持此选项。 |
用户代理 |
输入用户代理值,该值用于验证用户的浏览器流量是否为 HTTP/HTTPS 流量。
注意:
如果选择身份验证类型作为 Web 身份验证,则不支持此选项。 |
高级设置 | |
目标地址转换 |
从列表中选择要对目标地址转换执行的操作。可用选项包括:“无”、“删除翻译”和“删除未翻译”。 |
重定向选项 |
从列表中选择重定向操作。可用选项包括:“无”、“重定向 Wx”和“反向重定向 Wx”。
注意:
SRX5000系列设备都不支持此选项。 |
TCP 会话选项 | |
序列号检查 |
在策略规则级别进行状态检查期间,启用或禁用 TCP 段中的序列号检查。默认情况下,检查在全局级别进行。为避免提交失败,请关闭“全局选项”下的“序列号检查”>“流> TCP 会话”。 |
SYN 标志检查 |
在策略规则级别创建会话之前,启用或禁用对 TCP SYN 位的检查。默认情况下,检查在全局级别进行。为避免提交失败,请关闭“全局选项”>“流> TCP 会话”下的 SYN 标志检查。 |
附表 | |
附表 |
单击 计划 ,然后从列表中选择一个已配置的计划。 若要添加新计划,请单击 “添加新计划”。此时将显示“添加新计划”页。有关创建新计划的详细信息,请参阅 表 4。 |
领域 |
行动 |
---|---|
名字 |
输入地址的名称。名称必须是唯一的字符串,必须以字母数字字符开头,并且可以包含冒号、句点、短划线和下划线;不允许有空格;最多 63 个字符。 |
IP 类型 |
选择 IPv4 或 IPv6。 |
IPv4 | |
IPv4 地址 |
输入有效的 IPv4 地址。 |
子 |
输入 IPv4 地址的子网掩码。 |
IPv6 | |
IPv6 地址 |
输入有效的 IPv6 地址。 |
子网前缀 |
输入 IPv6 地址的子网前缀。 |
领域 |
行动 |
---|---|
全局设置 | |
名字 |
输入应用程序的唯一名称。 |
描述 |
输入应用程序的说明。 |
应用程序协议 |
从列表中选择应用程序协议的选项。 |
匹配 IP 协议 |
从列表中选择一个选项以匹配 IP 协议。 |
源端口 |
从列表中选择源端口的选项。 |
目标端口 |
从目标端口列表中选择一个选项。 |
ICMP 类型 |
从列表中选择 ICMP 消息类型的选项。 |
ICMP 代码 |
从列表中选择 ICMP 消息代码的选项。 |
RPC 程序编号 |
输入 RPC 程序编号的值。 值的格式必须为 W 或 X-Y。其中,W、X 和 Y 是介于 0 和 65535 之间的整数。 |
不活动超时 |
从列表中选择应用程序特定的非活动超时选项。 |
Uuid |
为 DCE RPC 对象输入一个值。
注意:
值的格式必须为 12345678-1234-1234-1234-123456789012。 |
自定义应用程序组 |
从列表中选择应用程序集名称。 |
条款 单击 +。此时将显示“创建术语”页面。 |
|
名字 |
输入术语的名称。 |
ALG |
从列表中选择 ALG 选项。 |
匹配 IP 协议 |
从列表中选择一个选项以匹配 IP 协议。 |
源端口 |
从列表中选择源端口的选项。 |
目标端口 |
从目标端口列表中选择一个选项。 |
ICMP 类型 |
从列表中选择 ICMP 消息类型的选项。 |
ICMP 代码 |
从列表中选择 ICMP 消息代码的选项。 |
RPC 程序编号 |
输入 RPC 程序编号的值。
注意:
值的格式必须为 W 或 X-Y。其中,W、X 和 Y 是介于 0 和 65535 之间的整数。 |
不活动超时 |
从列表中选择应用程序特定的非活动超时选项。 |
Uuid |
为 DCE RPC 对象输入一个值。
注意:
值的格式必须为 12345678-1234-1234-1234-123456789012。 |
领域 |
行动 |
---|---|
名字 |
输入计划的名称。 |
描述 |
输入计划的说明。 |
重复 |
从列表中选择一个选项以重复计划:
|
全天 |
启用此选项可将事件安排一整天。 此选项仅适用于从不和每日重复类型计划。 |
开始日期 |
以 YYYY-MM-DD 格式选择计划开始日期。 此选项仅适用于永不重复类型计划。 |
停止日期 |
以 YYYY-MM-DD 格式选择计划停止日期。 此选项仅适用于永不重复类型计划。 |
开始时间 |
以 HH:MM:SS 24 小时格式输入计划的开始时间。 此选项仅适用于每日重复类型计划。 |
停止时间 |
以 HH:MM:SS 24 小时格式输入计划的结束时间。 此选项仅适用于每日重复类型计划。 |
重复 |
选择要重复计划的日期和时间。 要为所选日期设置时间:
此选项仅适用于每周重复类型计划。 |
计划标准 |
选择以下任一选项:
此选项仅适用于“每日”和“每周重复”类型的计划。 |