Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

关于安全策略页面

您在此处: 安全策略 & 对象 > 安全策略

使用此页面可以全面了解您的防火墙策略规则设置。安全策略将安全规则应用于上下文中的传输流量(从区域到区域)。通过匹配流量的源和目标区域、源地址和目的地址,以及流量在其协议标头中携带的应用程序,以及数据平面中的策略数据库进行匹配,对流量进行分类。

使用全局策略,您可以通过引用用户定义的地址或预定义的地址“any”来规范地址和应用程序的流量,无论其安全区域如何。这些地址可以跨越多个安全区域。

您可以执行的任务

您可以从此页面执行以下任务:

  • 添加全局选项。请参阅 全局选项

  • 添加规则。请参阅 向安全策略添加规则

  • 编辑规则。请参阅 编辑安全策略规则

  • 克隆规则。请参阅 克隆安全策略规则

  • 删除规则。请参阅 删除安全策略规则

  • 要保存规则配置 ,请单击保存

  • 要删除规则配置,请单击 丢弃

  • 拖放区域上下文中的规则。为此,请选择要放置在区域上下文中不同序列号中的规则,然后使用光标拖放规则。

    注意:

    如果将规则拖放到区域上下文之外,J-Web 将显示一条警告消息,表明您无法将该规则移动到其他区域上下文中。

  • 策略规则高级搜索。为此,请使用表格网格上方的搜索文本框。搜索将逻辑运算符作为过滤器字符串的一部分。将鼠标悬停在“搜索”图标上时,搜索文本框会显示一个过滤器条件示例。开始输入搜索字符串时,图标将指示过滤器字符串是否有效。

    对于高级搜索:

    1. 在文本框输入搜索字符串。

      根据您的输入,将显示过滤器上下文菜单中的项目列表。

    2. 从列表中选择一个值,然后根据要执行高级搜索操作的有效运算符进行选择。

      注意:

      按空格键将 AND 运算符或 OR 运算符添加到搜索字符串中。按空格以删除搜索字符串的字符。

    3. 按 Enter 在网格中显示搜索结果。

    支持的搜索场景及其示例如下:

    1. 逻辑运算符:

      • 用于多个参数的 AND 运算符

        示例:Name = Rule1 AND Dynamic Application = 恶意软件

      • 相同和不同参数的 OR 运算符

        相同参数的示例:名称 = 规则 1 或名称 = 规则 2

        不同参数的示例:名称 = Rule1 或动态应用程序 = 恶意软件

      • AND 和 OR 操作人员的组合

        示例:Name = rule1 AND(动态应用程序 = 恶意软件或操作 = 拒绝)

      • 逗号 (,) 分隔值

        示例:Name = Rule1、Rule2

      • != 单个参数的运算符

        示例:Name != Rule1

    2. 具有 Junos 匹配字符的动态应用程序或服务对象

      搜索 Junos 的匹配字符(如 jun、un、nos 和 os)时,结果将显示所有匹配的对象,但没有 junos 前缀。例如,如果配置的动态应用程序为 junos:01NET,搜索带 jun 字符的动态应用程序只会显示 01NET

    3. 保存的策略规则

      添加或编辑规则时 ,单击保存 以保存配置。要搜索此保存的配置,必须等待设备同步配置。

  • 显示或隐藏策略规则表中的列。为此,请单击策略规则表右上角的“显示隐藏列”图标,然后选择要显示在页面上的列或取消选择要在页面上隐藏的列。

表 1 介绍了关于规则的更多选项。

表 1:安全策略页面上的更多选项

领域

描述

之前创建规则

在所选规则之前添加新规则。

在所选规则之前添加新规则:

  1. 选择要先创建规则的现有规则。

  2. 单击“更多”>“创建规则”。

    或者,您可以右击所选规则并选择“ 之前创建规则”。

    注意:
    • 创建新规则时,它将继承与父(选定)规则相同的名称、源区域和目标区域。源地址和目标地址为任意地址,操作为“拒绝”。

    • 对于全局策略,源区域和目标区域将不可用。

  3. 单击滴答标记以创建新规则。

在所选规则后添加新规则。

在所选规则之后添加新规则:

  1. 选择要在现有规则之后创建规则。

  2. 单击 “更多 ”> 创建规则后

    或者,您可以右击所选规则并选择“ 在之后创建规则”。

    注意:
    • 创建新规则时,它将继承与父(选定)规则相同的名称、源区域和目标区域。源地址和目标地址为任意地址,操作为“拒绝”。

    • 对于全局策略,源区域和目标区域将不可用。

  3. 单击滴答标记以创建新规则。

克隆

克隆或复制所选的防火墙策略配置,并使您能够更新规则的详细信息。

全部清除

清除所选规则的选择。

字段说明

表 2 介绍了安全策略页面上的字段。

注意:

在安全策略页面上:

  • 对于逻辑系统和租户,不会显示 URL 类别选项。

  • 对于租户,不会显示“动态应用程序”选项。

表 2:安全策略页面上的字段

领域

描述

Seq

显示区域对中的规则序列号。

显示规则遇到的命中次数。

规则名称

显示规则名称。

您可以将鼠标悬停在 name 列上以查看规则名称和其说明。

源区域

显示在规则的区域对中指定的源区域。

源地址

显示规则的源地址或地址集的名称。

源标识

显示规则的用户身份。

目标区域

显示规则的区域对中指定的目标区域。

目标地址

显示为规则设置的目标地址或地址的名称。

动态应用程序

显示应用程序防火墙规则集中匹配标准的动态应用程序名称。

应用程序防火墙配置会基于流量的应用允许、拒绝或拒绝流量。

服务

显示规则目标的服务类型。

URL 类别

显示要与 Web 过滤类别标准匹配的 URL 类别。

行动

显示流量在通过防火墙时需要在流量上进行的操作。

高级安全

显示适用于此规则的安全选项。

规则选项

在允许流量的同时显示规则选项。

附表

显示允许在指定持续时间内激活策略的计划程序详细信息。

您可以为策略处于活动状态的单个(非当前)或循环时间插槽定义调度器。