检测和配置计算机上可用的接口
计算机编辑器和策略编辑器分别包含接口部分(在计算机编辑器中)和接口类型部分(在策略编辑器中),这两个部分均显示在计算机上检测到的接口。如果为此计算机分配了具有多个接口分配的策略,将标识与策略中定义的特征码匹配的接口。
策略编辑器的接口类型部分提供以下附加功能:
为多个接口配置策略
如果计算机具有多个接口,您可以将策略的各个元素(防火墙规则等)分配给每个接口。
- 在策略编辑器中,单击接口类型。
- 在“网络接口特性”部分中,选择规则可以应用于特定接口。
- 在所显示的“接口类型”部分中,键入名称和特征码匹配字符串。
接口类型名称仅供参考。虽然任何名称都可用于映射到网络拓扑,但常用名称包括 "LAN"、"WAN"、"DMZ" 和 "Wi-Fi"。
匹配定义了一个基于通配符的接口名称,用于将接口自动映射到相应的接口类型。例如,"Local Area Connection *"、"eth*" 或 "Wireless *"。无法自动映射接口时将触发警报。可以从特定计算机的计算机编辑器中的接口页面对其进行手动映射。
如果趋势科技服务器深度安全防护系统在计算机上检测到不与以上任何条目匹配的接口,则管理中心将触发警报。
强制执行接口隔离
启用接口隔离后,防火墙会尝试将正则表达式特征码与本地计算机上的接口名称进行匹配。要强制执行接口隔离,请单击策略或计算机编辑器 > 防火墙 > 接口隔离选项卡上的启用接口隔离选项,并输入与计算机上的接口名称匹配的字符串特征码(按优先级顺序)。
启用接口隔离之前,请确保您已按照正确顺序配置了接口特征码并已移除或添加了所有相关的字符串特征码。只有与最高优先级特征码相匹配的接口才会允许传输网络通信。其他接口(与列表上剩余的任一特征码相匹配)都将“受限”。除非使用“允许”防火墙规则允许特定流量通过,否则受限接口将阻止所有流量。
如果选择限制为一个活动接口,则即使多个接口与最高优先级特征码匹配,也会将流量限制到单个接口。
趋势科技服务器深度安全防护系统使用 POSIX 基本正则表达式来匹配接口名称。有关基本 POSIX 正则表达式的信息,请访问 http://pubs.opengroup.org/onlinepubs/009695399/basedefs/xbd_chap09.html#tag_09_03