如前所述,动态地址向安全策略提供动态 IP 地址信息。动态地址条目 (DAE) 是一组 IP 地址,而不仅仅是单个 IP 前缀,可以手动输入,也可以从外部源导入。DAE 功能允许在安全策略中使用基于源的 IP 对象,以根据源或目标 IP 标准拒绝或允许流量。例如,DAE 可能包含特定域或具有公共属性(例如构成威胁的特定不需要的位置)的实体的 IP 地址。更新 DAE 时,更改将自动成为安全策略的一部分。无需手动更新策略;无需配置提交作。
本主题将引导您完成创建 DAE 并将其与策略相关联的简单示例。有关在 Security Director 中创建防火墙策略的完整信息,请参阅 创建防火墙策略。
- 单击配置>威胁防御>源。
- 在自定义源选项卡中,单击使用 本地文件创建>源。
- 输入 DAE_example1 名称。
- 从源类型列表中选择 动态地址 。
- 从 Realms 字段中选择 ATP 云领域。
- 在“自定义列表”字段中,单击加号 (+) 以将单个条目添加到自定义列表中。
- 添加以下 IP 地址。有关支持的格式的信息,请参阅联机帮助。
- 确保未选中自定义列表中的所有条目,然后单击 确定。
- 单击 配置>防火墙策略>策略。
注意:
此示例使用简单规则来展示如何将 DAE 与允许列表防火墙策略相关联。创建自己的防火墙策略时,必须配置满足公司要求的规则。
- 单击加号 (+) 以创建新的防火墙策略。
- 输入 dynamic_address_test 名称。
- 从 Profile 下拉菜单中选择 All Logging Enabled 。
- 选择 “设备策略 ”作为“类型”,然后从“设备”下拉菜单中选择设备。
- 单击 确定。
几秒钟后,dynamic_address_test策略将显示在列表中。
- 单击策略旁边的
dynamic_address_test添加规则以启动规则向导。
- dynamic_rule输入名称并单击下一步。
- 在“源”窗口中,从“区域”下拉菜单中选择 “不信任 ”,然后单击“地址”字段下的 “选择 ”。
- 在“源地址”窗口中,选择“ 包括特定” 单选按钮。
- 在左侧表格中选择
DAE_example1 ,然后单击向右箭头将其移动到右侧表格。然后单击 下一步。
“源”窗口将重新出现并 DAE_example1 显示在地址字段中。
- 在 Destionation 窗口中,从 Zone 下拉菜单中选择 trust ,然后单击 Next。
- 在“高级安全性”窗口中,从“规则作”下拉菜单中选择“ 允许 ”,然后单击 “下一步”。
- 在“规则选项”窗口中,单击“ 下一步 ”以使用默认设置。
- 单击地址部分中的 选择 ,然后单击 包括详细信息 单选按钮。
- 在“规则分析”窗口中,选中“分析 新规则以建议放置以避免异常” 复选框,然后单击“ 下一步”。
几秒钟后,将显示对规则的分析,包括应放置的位置等。
- 单击 “完成” ,然后单击“ 确定” 以退出向导。
- 在出现的页面中,单击 保存 (位于窗口顶部附近)。
- 选中策略的
dynamic_rule 复选框,然后单击 发布。
发布规则时,该过程将考虑在策略上设置的优先级和优先级值以及设备上规则的顺序。
