向安全策略添加规则

你在这里：安全策略和对象 > 安全策略。

注意：

若要在安全策略规则中引用内容安全策略和 AppQoS 配置文件，请先创建内容安全策略和 AppQoS 配置文件，然后再创建或编辑安全策略规则（如果需要）。若要创建内容安全策略，请转到内容安全策略>内容安全>安全服务;要创建 AppQoS 配置文件，请转到网络>应用程序 QoS。

要向安全策略添加规则，请执行以下作：

单击“安全策略”页面右上角的“+可用”。

将显示内联可编辑字段。
按照表 1 中提供的指南完成配置。
完成配置后，单击该行右上角的勾号图标。

注意：
如果在创建新规则时内联刻度和取消图标不可用，请向后滚动水平条。
单击 “保存 ”保存更改，或单击 “丢弃 ”放弃更改。

注意：
您必须先执行步骤 3 和步骤 4 ，然后才能在 J-Web UI 中执行任何其他作。

表 1：“安全策略”页面上的字段
田	行动
规则名称	输入新规则或策略的名称。
规则说明	输入安全策略的说明。
全局策略	启用此选项可指定定义的策略是全局策略，并且不需要区域。
源区	要添加源，请执行以下作：单击 +。此时将显示“选择源”页面。输入以下详细信息：区域 - 从列表中选择要将规则关联到的源区域。地址（Addresses） - 选择任何或特定。注意：您可以选择 IP 源来定义策略的匹配条件。此外，您还可以在新的“类型”列中查看源类型（地址、地址组、通配符、范围、IP 源）。仅当您已注册到瞻博网络 ATP 云时，才会显示源。您还可以使用命令下载源。 `request services security-intelligence download` 若要选择特定地址或 IP 源，请从“可用”列中选择地址或 IP 源，然后单击向右箭头将其移动到“已选择”列。可以选择 “排除所选 ”以仅从列表中排除所选地址。要创建新地址，请单击 + 。此时将显示“创建地址”页面。有关字段的更多信息，请参阅表 2。源身份 - 从“可用”列中选择用户身份，然后单击向右箭头将其移动到“选定”列。要创建源标识，请单击 +。在“创建源标识”页中输入新的用户名或标识，然后单击 “确定”。源身份信息源 — 您可以选择用户身份威胁信息源来定义策略的匹配条件。从“可用”列中选择用户身份威胁源，然后单击向右箭头将其移动到“已选择”列。最大用户身份威胁源计数为 1024。即每个策略的源身份源和目标身份源的总和。注意：仅当您已注册到瞻博网络 ATP 云时，才会显示源。您还可以使用命令下载源。 `request services security-intelligence download`
目标区域	要添加目标：单击 +。此时将显示“选择目标”页面。输入以下详细信息：区域 - 从列表中选择要将规则关联到的目标区域。地址（Addresses） - 选择任何或特定。注意：您可以选择 IP 源来定义策略的匹配条件。此外，您还可以在新的“类型”列中查看源类型（地址、地址组、通配符、范围、IP 源）。仅当您已注册到瞻博网络 ATP 云时，才会显示源。您还可以使用命令下载源。 `request services security-intelligence download` 若要选择特定地址或 IP 源，请从“可用”列中选择地址或 IP 源，然后单击向右箭头将其移动到“已选择”列。可以选择 “排除所选 ”以仅从列表中排除所选地址。要创建新地址，请单击 + 。有关字段的更多信息，请参阅表 2。动态应用程序 - 选择任何、特定或无。注意：租户不支持“动态应用程序”选项。若要选择特定应用程序，请从“可用”列中选择该应用程序，然后单击向右箭头将其移动到“已选择”列。注意： “全选”复选框仅在搜索特定动态应用程序时可用。若要创建新应用程序，请单击 “+”。此时将显示“创建应用程序签名”页。有关字段的详细信息，请参阅添加应用程序签名。注意：对于逻辑系统，您不能以内联方式创建动态应用程序。服务 - 选择任何、特定或无。若要选择特定服务，请从“可用”列中选择该服务，然后单击向右箭头将其移动到“已选择”列。若要创建新服务，请单击 “+”。此时将显示“创建服务”页面。有关字段的详细信息，请参阅表 3。 URL 类别 - 选择 “任意”、“ 特定”或 “无 ”以匹配 Web 过滤类别的条件。若要选择特定的 URL 类别，请从“可用”列中选择 URL 类别，然后单击向右箭头将其移动到“已选择”列。注意：此选项不适用于逻辑系统和租户。目标身份源 — 您可以选择用户身份威胁源来定义策略的匹配条件。从“可用”列中选择用户身份威胁源，然后单击向右箭头将其移动到“已选择”列。最大用户身份威胁源计数为 1024。即每个策略的源身份源和目标身份源的总和。注意：仅当您已注册到瞻博网络 ATP 云时，才会显示源。您还可以使用命令下载源。 `request services security-intelligence download`
行动	选择流量与条件匹配时要执行的作：允许 — 允许数据包通过防火墙。拒绝 — 阻止并丢弃数据包，但不向源发送通知。拒绝 — 阻止并丢弃数据包，并向源主机发送通知。
高级服务单击 +。此时将显示“选择高级服务”页面。注意：当作为“拒绝”时：您只能配置“SSL 代理”和“重定向配置文件”选项。如果动态应用程序为“无”，则只能配置“SSL 代理”选项。逻辑系统和租户不支持高级安全选项。当作为“允许”时：对于逻辑系统，仅支持 IPS、IPS 策略、内容安全、威胁防御策略、ICAP 重定向配置文件和 AppQOS 选项。对于租户系统，仅支持威胁防御策略和 AppQOS。
SSL 代理	从列表中选择要与此规则关联的 SSL 代理策略。
内容安全	从列表中选择要与此规则关联的内容安全策略。该列表显示所有可用的内容安全策略。如果要创建新的内容安全策略，请单击 “新增”。此时将显示“创建内容安全策略”页面。有关创建新的内容安全策略的详细信息，请参阅创建内容安全策略。
IPS 策略	从列表中选择 IPS 策略。
威胁防御策略	从列表中选择配置的威胁防御策略。
ICAP 重定向配置文件	从列表中选择配置的 ICAP 重定向配置文件名称。
AAMW公司	从列表中选择要与安全策略关联的反恶意软件配置文件。注意：从 Junos OS 22.2R1 版开始，您可以将反恶意软件配置文件与安全策略相关联。
SecIntel 配置文件组	从列表中选择要与安全策略关联的 SecIntel 配置文件组。注意：从 Junos OS 22.2R1 版开始，可以将 SecIntel 配置文件组与安全策略相关联。
IPSec VPN	从列表中选择 IPsec VPN 隧道。注意：如果在目标中选择动态应用程序，则不支持 IPsec VPN 选项。
配对策略名称	在相反方向上输入具有相同 IPsec VPN 的策略名称，以创建配对策略。注意：如果在目标中选择“动态应用程序”，则不支持“配对策略名称”选项。
应用 QoS 配置文件	从列表中选择配置的 AppQoS 配置文件。如果要创建新的 AppQoS 配置文件，请单击 “新增”。此时将显示 Add AppQoS Profile 页面。有关创建新的 AppQoS 配置文件的详细信息，请参阅添加应用程序 QoS 配置文件。
威胁分析	从 Junons OS 21.4R1 版开始，您可以启用此选项以生成威胁分析源。注意：仅当您已注册到瞻博网络 ATP 云时，才会显示源。您还可以使用命令下载源。 `request services security-intelligence download` 您可以将源地址和目标地址以及源和目标身份添加到威胁源中。源生成后，您可以配置其他安全策略，以使用源匹配指定流量并执行策略作。将源 IP 添加到源 - 从列表中选择威胁源以将其添加到源 IP 地址。将源身份添加到源 - 从列表中选择威胁源以将其添加到源用户身份。将目标 IP 添加到信息源 - 从列表中选择威胁信息源以将其添加到目标 IP 地址。将目标身份添加到信息源 - 从列表中选择威胁信息源，将其添加到目标用户身份。
数据包捕获	启用此选项可捕获特定于安全策略规则的未知应用流量。默认情况下，此选项处于禁用状态。启用后，您可以查看数据包捕获（PCAP）文件详细信息，或在监控> 记录 > 会话页面上下载 PCAP 文件。
规则选项单击规则选项。此时将显示 SELECT RULE OPTIONS 页面。
伐木
会话启动	启用此选项可在创建会话时记录事件。
会话结束	启用此选项可在会话关闭时记录事件。
计数	启用此选项可收集使用此策略通过防火墙的数据包数、字节数和会话数的统计信息。指定统计计数。每当流量超过指定的数据包和字节阈值时，就会触发告警。注意：如果未启用启用计数，则禁用警报阈值字段。
认证注意：如果在目标中选择“动态应用程序”，则不支持“身份验证”选项。逻辑系统和租户系统不支持此选项。
将身份验证条目推送到 JIMS	启用此选项可将处于身份验证成功状态的认证条目从防火墙身份验证推送到瞻博网络身份管理服务器（JIMS）。这将使 SRX 系列防火墙能够查询 JIMS，以获取 IP/用户映射和设备信息。这不是强制性选项。当在本地 Active Directory 上至少配置了一个域时，可以选择它或配置身份管理。
类型	从列表中选择防火墙身份验证类型。可用的选项包括：“无”、“直通”、“用户防火墙”和“Web 身份验证”。
访问配置文件	从列表中选择访问配置文件。注意：如果将身份验证类型选择为 Web 身份验证，则不支持此选项。
客户端名称	输入客户端用户名或客户端用户组名称。注意：如果将身份验证类型选择为“用户防火墙”，则不支持此选项。
域	从列表中选择客户端名称中必须包含的域名。注意：仅当将身份验证类型选择为“用户防火墙”时，才支持此选项。
Web 重定向（http）	启用此选项可通过向客户端系统发送重定向 HTTP 响应以重新连接到 Web 服务器进行用户身份验证，从而将 HTTP 请求重定向到设备的内部 Web 服务器。注意：如果将身份验证类型选择为 Web 身份验证，则不支持此选项。
强制门户	启用此选项可将客户端 HTTP 或 HTTPS 请求重定向到设备的内部 HTTPS Web 服务器。配置 SSL 终止配置文件时，将重定向 HTTPS 客户端请求。注意：如果将身份验证类型选择为 Web 身份验证，则不支持此选项。
接口	为 Web 服务器选择一个接口，以重定向客户端 HTTP 或 HTTPS 请求。注意：创建策略后，您将无法编辑此内容。要编辑接口，请转到网络>连接>接口。
IPv4 地址	输入重定向客户端 HTTP 或 HTTPS 请求的 Web 服务器的 IPv4 地址。注意：创建策略后，您将无法编辑此内容。要编辑接口，请转到网络>连接>接口。
SSL 终止配置文件	从包含 SSL 终止连接设置的列表中选择 SSL 终止配置文件。SSL 终止是 SRX 系列防火墙充当 SSL 代理服务器并终止来自客户端的 SSL 会话的过程。要添加新的 SSL 终止配置文件，请执行以下作：单击 “添加”。此时将显示“Create SSL Termination Profile（创建 SSL 终止配置文件）”页面。输入以下详细信息：名称 - 输入 SSL 终止配置文件名称;最多 63 个字符。服务器证书 — 从列表中选择用于验证服务器身份的服务器证书。若要添加证书，请单击 “添加”。有关添加设备证书的详细信息，请参阅关于“证书”页。
仅身份验证浏览器	启用此选项可丢弃非浏览器 HTTP 流量，以允许将强制门户呈现给使用浏览器请求访问的未经身份验证的用户。注意：如果将身份验证类型选择为 Web 身份验证，则不支持此选项。
用户代理	输入一个 user-agent 值，用于验证用户的浏览器流量是否为 HTTP/HTTPS 流量。注意：如果将身份验证类型选择为 Web 身份验证，则不支持此选项。
高级设置
目标地址转换	从列表中选择要对目标地址转换执行的作。可用的选项包括：“无”、“丢弃已翻译”和“丢弃未翻译”。
重定向选项	从列表中选择重定向作。可用的选项包括：None、Redirect Wx 和 Reverse Redirect Wx。注意： SRX5000 系列设备不支持此选项。
TCP 会话选项
序列号检查	在策略规则级别的状态检查期间，启用或禁用对 TCP 分段中的序列号的检查。默认情况下，检查在全局级别进行。为避免提交失败，请关闭“全局选项”下的“序列号检查”>“流> TCP 会话”。
SYN 标志检查	在策略规则级别创建会话之前，启用或禁用对 TCP SYN 位的检查。默认情况下，检查在全局级别进行。为避免提交失败，请关闭“TCP 会话>流的全局选项”下的 SYN 标志检查>。
附表
附表	单击 “计划 ”，然后从列表中选择一个配置的计划。要添加新计划，请单击添加新计划。此时将显示“添加新计划”页面。有关创建新计划的更多信息，请参阅表 4。

表 2：“创建地址”页面上的字段
田	行动
名字	输入地址的名称。名称必须是唯一的字符串，必须以字母数字字符开头，并且可以包含冒号、句点、破折号和下划线;不允许有空格;最多 63 个字符。
IP 类型	选择“ IPv4 ”或“ IPv6”。
IPv4
IPv4 地址	输入有效的 IPv4 地址。
子	输入 IPv4 地址的子网掩码。
IPv6
IPv6 地址	输入有效的 IPv6 地址。
子网前缀	输入 IPv6 地址的子网前缀。

表 3：“创建服务”页面上的字段
田	行动
全局设置
名字	输入应用程序的唯一名称。
描述	输入应用程序的描述。
应用协议	从应用程序协议列表中选择一个选项。
匹配 IP 协议	从列表中选择一个选项以匹配 IP 协议。
源端口	从源端口列表中选择一个选项。
目标端口	从目标端口列表中选择一个选项。
ICMP 类型	从列表中选择 ICMP 消息类型的一个选项。
ICMP 代码	从 ICMP 消息代码列表中选择一个选项。
RPC 程序编号	输入 RPC 程序编号的值。该值的格式必须为 W 或 X-Y。其中，W、X 和 Y 是介于 0 和 65535 之间的整数。
非活动超时	从列表中选择一个选项，用于特定于应用程序的非活动超时。
UUID	为 DCE RPC 对象输入一个值。注意：值的格式必须为 12345678-1234-1234-1234-123456789012。
自定义应用程序组	从列表中选择应用程序集名称。
条款单击 +。此时将显示“创建术语”页面。
名字	输入术语的名称。
ALG	从 ALG 列表中选择一个选项。
匹配 IP 协议	从列表中选择一个选项以匹配 IP 协议。
源端口	从源端口列表中选择一个选项。
目标端口	从目标端口列表中选择一个选项。
ICMP 类型	从列表中选择 ICMP 消息类型的一个选项。
ICMP 代码	从 ICMP 消息代码列表中选择一个选项。
RPC 程序编号	输入 RPC 程序编号的值。注意：该值的格式必须为 W 或 X-Y。其中，W、X 和 Y 是介于 0 和 65535 之间的整数。
非活动超时	从列表中选择一个选项，用于特定于应用程序的非活动超时。
UUID	为 DCE RPC 对象输入一个值。注意：值的格式必须为 12345678-1234-1234-1234-123456789012。

表 4：“添加新计划”页上的字段
田	行动
名字	输入计划的名称。
描述	输入计划的描述。
重复	从列表中选择一个选项以重复计划：从不日常周刊
整天	启用此选项可安排一整天的活动。此选项仅适用于“从不”和“每日”重复类型计划。
开始日期	以 YYYY-MM-DD 格式选择计划开始日期。此选项仅适用于从不重复类型计划。
停止日期	以 YYYY-MM-DD 格式选择计划停止日期。此选项仅适用于从不重复类型计划。
开始时间	以 HH：MM：SS 24 小时格式输入计划的开始时间。此选项仅适用于每日重复类型计划。
停止时间	以 HH：MM：SS 24 小时格式输入计划的结束时间。此选项仅适用于每日重复类型计划。
重复	选择要重复计划的日期和时间。要为所选日期设置时间：单击 “设置时间 ”或“ 将时间设置为所选日期”。此时将显示“将时间设置为选定天数”页面。输入以下详细信息：名称（Name） - 显示所选日期。全天 - 启用此选项可使事件运行一整天。开始时间 - 以 HH：MM：SS 24 小时格式输入开始时间。停止时间 - 以 HH：MM：SS 24 小时格式输入停止时间。单击 “确定 ”保存更改。此选项仅适用于每周重复类型计划。
计划标准	选择以下任一选项：计划永不停止 - 计划可以永远处于活动状态（循环），但仅限于每日或每周计划指定的活动状态。明细表指定窗口（Schedule Specify Window） - 明细表可以在由开始日期和停止日期指定的单个时间段内处于活动状态。输入以下详细信息：计划开始 - 以 YYYY-MM-DD 格式输入计划开始日期。计划结束 - 以 YYYY-MM-DD 格式输入计划开始日期。此选项仅适用于“每日”和“每周”重复类型计划。

向安全策略添加规则

相关主题