定义防火墙规则以在策略中使用
防火墙规则会检查单个数据包中的控制信息。然后,根据这些页面中定义的规则来阻止或允许数据包。防火墙规则直接分配到计算机,或分配到策略再转而分配到计算机或计算机组。
创建新的防火墙规则
可以通过以下三种方法在策略 > 通用对象 > 规则 > 防火墙规则页面上添加新的防火墙规则:
- 要创建新规则,请单击新建 > 新建防火墙规则。
- 要从 XML 文件导入规则,请单击新建 > 从文件导入。
- 要复制然后修改现有规则,请从列表中选择规则,然后单击复制。要编辑新规则,请选择新规则,然后单击属性。
配置防火墙规则属性
当您创建新规则或编辑现有规则时这些属性是可用的。
常规信息
- 名称: 防火墙规则的名称。
- 描述: 防火墙规则的详细描述。
- 操作:防火墙规则有四种不同的行为方式。下面按照优先级对此进行说明:
- 网络通信可以完全绕开防火墙。这是一个特殊规则,可造成数据包完全绕开防火墙和入侵防御引擎。对于不需要过滤的媒体密集协议,可使用此设置。
- 它可以是仅记录。这意味着它只会在日志中写入条目,而不干扰网络通信。
- 它可以强制允许定义的网络通信(将允许此规则所定义的网络通信,但不 排除其他任何网络通信)。
- 它可以拒绝网络通信(拒绝此规则定义的网络通信)。
- 它可以允许网络通信(将单方面 允许此规则所定义的网络通信)。
有关处理措施和优先级如何协同工作的详细信息,请参阅防火墙规则处理措施和优先级。
如果计算机上没有任何允许规则生效,除非被拒绝规则特别阻止,否则将允许所有流量。一旦创建了单个允许规则,就会阻止所有其他网络通信,除非满足允许规则的要求。此情况有一个例外:除非拒绝规则明确阻止 ICMPv6 网络通信,否则始终允许该网络通信。对于任何特定的数据包只会应用一个规则操作,优先级相同的规则按上述顺序应用。 - 优先级:如果选择“强制允许”、“拒绝”或“仅记录”作为规则操作,则可以在此处设置 0(低)到 4(最高)的优先级。设置优先级可让您结合规则操作实现一系列规则效果。仅记录规则的优先级只能是 4,而允许规则的优先级只能是 0。
优先级确定规则的应用顺序。先应用高优先级的规则,然后应用低优先级的规则。例如,在对数据包应用优先级为 2 的端口 80 传入强制允许规则之前,优先级为 3 的端口 80 传入拒绝规则会丢弃该数据包。
- 数据包流向:趋势科技服务器深度安全防护系统防火墙是一个双向防火墙。因此,它可以对网络到趋势科技服务器深度安全防护系统主机(称为传入)以及主机到网络(称为传出)的流量强制执行规则。选择此规则是要应用到传入还是传出流量。
-
防火墙规则仅可用于一个方向,因此特定类型的流量的防火墙规则通常成对出现。
- 帧类型:选择帧类型。使用非复选框可指定是要过滤该帧类型,还是过滤除该帧类型以外的其他任何类型。术语“帧”是指以太网帧,提供的协议可指定帧包含的数据。Internet 协议 (IP)、地址解析协议 (ARP) 和反向地址解析协议 (REVARP) 是当代以太网网络上最常执行的协议,但是通过从列表中选择“其他”,您可以按“帧编号”指定任何其他帧类型。
-
您可以仅选择 IPv4 或 IPv6。要指定其中之一(两者),请选择 IP。Solaris 客户端将仅检查 IP 帧类型的数据包,Linux 客户端将仅检查 IP 或 ARP 帧类型的数据包。将允许其他帧类型的数据包通过。请注意,虚拟设备没有这些限制,可以检查所有帧类型,而不管它所保护的虚拟机是什么操作系统。有关帧类型的列表,请访问 Internet Assigned Numbers Authority (IANA) Web 站点。
如果您选择 Internet 协议 (IP) 帧类型,则会启用协议文本框,您可以在其中指定您的规则要查找的传输协议。使用此复选框可指定是要过滤该协议,还是过滤除该协议以外的其他任何 协议。您可以从预定义的常用协议下拉列表中选择,也可以选择“其他”,然后自行输入协议代码(介于 0 和 255 之间的三位数十进制值)。
数据包源和数据包目标
防火墙可以使用 IP 地址、MAC 地址或端口来确定流量的源和目标:
IP 地址
以下选项可用于定义 IP 地址:
- 任何:未指定地址,因此任何主机均可以是源或目标
- 单个 IP:使用其 IP 地址标识特定计算机。
- 网络掩码:这会将规则应用于共享相同子网掩码的所有计算机
- 范围:这会将规则应用于特定 IP 地址范围内的所有计算机
- IP:对不具有连续 IP 地址的多个计算机应用规则时使用此选项。
- IP 列表:使用此选项,您可以选择已在策略 > 通用对象 > 列表 > IP 列表页面上定义的值。
MAC 地址
以下选项可用于定义 MAC 地址:
- 任何:未指定 MAC 地址,因此,规则适用于所有地址
- 单个 MAC:规则适用于特定 MAC 地址
- MAC:规则适用于此处指定的 MAC 地址
- MAC 列表:使用此选项,您可以选择已在策略 > 通用对象 > 列表 > MAC 列表页面上定义的值。
端口
以下选项可用于定义端口地址:
- 任何:规则适用于所有端口
- 端口:规则适用于此处指定的多个端口
- 端口列表:使用此选项,您可以选择已在策略 > 通用对象 > 列表 > 端口列表页面上定义的值。
特定标志
如果在以上“常规信息”一节中选择了 TCP、ICMP 或 TCP+UDP 作为协议,您可以指示防火墙规则观察特定的标志。如果规则未应用到所有标志,您可从以下标志中进行选择:
- URG
- ACK
- PSH
- RST
- SYN
- FIN
可使用多种方法将这些标志用于各种攻击中。此处仅介绍一项选择。
URG 标志表示该数据包十分紧急,必须先于所有其他数据包进行处理;PSH 标志设置 TCP 堆栈以刷新其缓存并将所有信息发送到应用程序。这两种标志都可用于名为 Xmas 扫描的类型端口扫描中,通常为已启用 URG 和 PSH 标志的 FIN 数据包。此扫描的名称由来是交替打开和关闭标志字节 (00101001) 中的位,类似圣诞树上的灯。
未受保护的计算机收到与 Xmas 扫描相关的数据包时,将出现以下情况:
| 条件 | 响应 |
|---|---|
| 关闭的端口 | 返回 RST 数据包 |
| 打开的端口 | 无响应,暴露了已打开端口的存在 |
RST 或 RESET 标志突然终止了 TCP 连接。如上所述,其合法使用还包括终止到指出连接不可行或未经允许的已关闭端口的连接。但是,RST 标志还可以用作旨在破坏现有会话的 RESET 攻击的一部分。下图举例说明了一种攻击情况,其中主机 C 可以计算主机 A 期望从主机 B 的数据包获取的 TCP 序列号,因此欺骗主机 A 相信主机 B 已向其发送 RST 数据包。最终结果是拒绝服务攻击:
事件
根据此规则选择是否启用或禁用日志记录事件。如果启用事件日志记录,则可以使用事件记录数据包数据。
选项
警报
指定当触发此防火墙规则时,防火墙规则是否要触发警报。如果只希望此规则在特定时间段处于活动状态,请从列表分配一个时间表。
时间表
选择是否应只在预设时间段激活防火墙规则。
。
上下文
规则上下文是根据计算机网络环境实施不同安全策略的强大途径。上下文最常用于创建以下策略:该策略根据计算机(通常是便携式计算机)是在办公室内还是办公室外应用不同的防火墙和入侵防御规则。
上下文与防火墙规则和入侵防御规则相关联。如果满足了上下文中定义的与规则相关的条件,则应用此规则。
为了确定计算机的位置,上下文会检查计算机与其域控制器连接的性质。有关上下文的更多信息,请参阅策略 > 通用对象 > 其他 > 上下文。
已分配给
此选项卡显示含有此防火墙规则的策略列表,以及此防火墙规则直接分配到的所有计算机。可以在策略页面上将防火墙规则分配给策略;可以在计算机页面上将防火墙规则分配给计算机。
