如前所述,动态地址向安全策略提供动态 IP 地址信息。动态地址条目 (DAE) 是一组 IP 地址,而不仅仅是单个 IP 前缀,可以手动输入或从外部源导入。DAE 功能允许在安全策略中使用基于源的 IP 对象,以根据源或目标 IP 条件拒绝或允许流量。例如,DAE 可能包含特定域或具有通用属性(如构成威胁的特定不需要的位置)的实体的 IP 地址。更新 DAE 时,更改将自动成为安全策略的一部分。无需手动更新策略;不需要配置提交操作。
本主题将引导您完成创建 DAE 并将其与策略关联的简单示例。有关在 Security Director 中创建防火墙策略的完整信息,请参阅 创建防火墙策略。
- 单击 配置>威胁防御>源源。
- 在“自定义源”选项卡中,单击“ 使用本地文件创建>源”。
- 输入 DAE_example1 作为名称。
- 从源类型列表中选择 动态地址 。
- 从领域字段中选择 ATP 云领域。
- 在“自定义列表”字段中,单击加号 (+) 将各个条目添加到自定义列表中。
- 添加以下 IP 地址。有关支持的格式的信息,请参阅联机帮助。
- 确保未选中自定义列表中的所有条目,然后单击 “确定”。
- 单击 配置>防火墙策略>策略。
注意:
此示例使用简单规则来显示如何将 DAE 与允许列表防火墙策略相关联。创建自己的防火墙策略时,必须配置符合公司要求的规则。
- 单击加号 (+) 创建新的防火墙策略。
- 输入 dynamic_address_test 作为名称。
- 从配置文件下拉菜单中选择 所有已启用日志记录 。
- 选择设备策略作为类型,然后从设备下拉菜单中选择一个 设备 。
- 单击 “确定”。
几秒钟后,dynamic_address_test策略将显示在列表中。
- 单击策略旁边的
dynamic_address_test
添加规则以启动规则向导。
- 输入 dynamic_rule 名称,然后单击 下一步。
- 在“源”窗口中,从“区域”下拉菜单中选择“ 不信任 ”,然后单击“地址”字段下的 “选择 ”。
- 在“源地址”窗口中,选择“ 包括特定” 单选按钮。
- 在左侧表中选择
DAE_example1
,然后单击向右箭头将其移动到右侧表。然后单击“ 下一步”。
“源”窗口将重新出现并 DAE_example1
出现在地址字段中。
- 在定义窗口中,从区域下拉菜单中选择 信任 ,然后单击 下一步。
- 在高级安全性窗口中,从规则操作下拉菜单中选择 允许 ,然后单击 下一步。
- 在“规则选项”窗口中,单击“ 下一步 ”以使用默认设置。
- 单击地址部分中 的选择 ,然后单击 包括详细信息 单选按钮。
- 在“规则分析”窗口中,选中“分析新规则以建议放置以避免异常”复选框,然后单击“下一步”。
几秒钟后,将显示对规则的分析,包括应放置的位置等。
- 单击“ 完成 ”,然后单击 “确定 ”退出向导。
- 在生成的页面中,单击“ 保存 ”(位于窗口顶部附近)。
- 选中策略的
dynamic_rule
复选框,然后单击 发布。
发布规则时,该过程会考虑策略上设置的优先级和优先级值以及设备上规则的顺序。