防火墙规则处理措施和优先级

在本文中:

防火墙规则操作

防火墙规则可以执行以下操作:

  • 允许:明确允许符合规则的流量通过,隐式拒绝其他流量。
  • 放行:允许流量绕开防火墙和入侵防御分析。仅将此设置用于媒体密集协议。放行规则可基于 IP、端口、流量方向和协议。
  • 拒绝:明确阻止符合规则的流量。
  • 强制允许:强制允许另外可能被其他规则拒绝的流量。
    强制允许规则允许的流量仍要经过入侵防御模块的分析。
  • 仅记录:流量将仅供记录。不会采取任何其他操作。

有关“允许”规则的更多信息

允许规则有两个功能:

  1. 允许明确允许的流量。
  2. 隐式拒绝所有其他流量。
将丢弃允许规则未明确允许的流量,并记录为不允许的策略防火墙事件。

常用的允许规则包括:

  • ARP:允许传入的地址解析协议 (ARP) 流量。
  • 允许请求的 TCP/UDP 回复:确保主机计算机可以接收对其 TCP 和 UDP 消息的回复。这与 TCP 和 UDP 状态配置结合使用。
  • 允许请求的 ICMP 回复:确保主机计算机可以接收对其 ICMP 消息的回复。这与 ICMP 状态配置结合使用。

有关“放行”规则的更多信息

放行规则专用于媒体密集协议,无需通过防火墙或入侵防御模块进行过滤。放行规则具有以下显著特征:

符合放行规则条件的数据包具有以下特点:

  • 不受状态配置设置条件的约束。
  • 可绕开防火墙和入侵防御分析

由于状态检查未应用于已绕开的流量,因此绕开一个方向的流量不会自动绕开另一个方向的响应。因此,应始终成对创建和应用放行规则,一个用于传入流量,另一个用于传出流量。

不会记录放行规则事件。这是不可配置的行为。
如果趋势科技服务器深度安全防护系统管理中心使用受趋势科技服务器深度安全防护系统客户端保护的远程数据库,那么在趋势科技服务器深度安全防护系统管理中心将入侵防御规则保存到数据库时,将出现入侵防御相关的虚假警报。规则内容本身将误报为攻击。针对此情况的解决方法之一是为从趋势科技服务器深度安全防护系统管理中心到数据库主机的流量创建放行规则。

趋势科技服务器深度安全防护系统管理中心流量的缺省放行规则

趋势科技服务器深度安全防护系统管理中心会自动实施优先级 4 放行规则,该规则会在运行趋势科技服务器深度安全防护系统客户端的计算机上打开客户端用于侦听波动信号的端口上的传入 TCP 流量。优先级 4 可确保在所有拒绝规则之前先应用此规则,放行可保证流量始终不会受到影响。“放行”规则未在防火墙规则列表中明确显示,因为该规则是内部创建的。

但是,此规则接受来自任何 IP 地址和任何 MAC 地址的流量。要强化此端口上的客户端安全性,您可以为此端口创建另外一个更加严格的放行规则。客户端实际上将禁用缺省管理中心流量规则以支持新的定制规则,前提是该定制规则具有以下特点:

定制规则必须使用以上参数替换缺省规则。实际管理中心的 IP 地址或 MAC 地址应用作规则的数据包源。

有关“强制允许”规则的更多信息

“强制允许”选项排除了另外可能被拒绝操作覆盖的流量子集。它与其他操作的关系如下所示。强制允许与放行规则的效果是一样的。但是,和放行不同的是,因此操作通过防火墙的流量仍要由入侵防御模块进行审查。强制允许操作对于确保必要的网络服务能够与 DSA 计算机进行通信特别有用。通常,强制允许规则只能与允许和规则一起使用来允许由允许和拒绝规则禁止的部分流量。当启用 ICMP 和 UDP 状态时,还需要强制允许规则以允许未经请求的 ICMP 和 UDP 流量。

在多节点布局中使用多个管理中心时,最好为这些服务器定义一个 IP 列表,然后为该列表创建定制的管理中心流量规则。

防火墙规则流程

到达计算机的数据包会先按防火墙规则进行处理,接着根据状态配置条件进行处理,最后再按入侵防御规则进行处理。

以下是应用防火墙规则的顺序(传入和传出):

  1. 具有优先级 4(最高)的防火墙规则
    1. 放行
    2. 仅记录(只能为仅记录规则分配优先级 4(最高)
    3. 强制允许
    4. 拒绝
  2. 具有优先级 3(高)的防火墙规则
    1. 放行
    2. 强制允许
    3. 拒绝
  3. 具有优先级 2(一般)的防火墙规则
    1. 放行
    2. 强制允许
    3. 拒绝
  4. 具有优先级 1(低)的防火墙规则
    1. 放行
    2. 强制允许
    3. 拒绝
  5. 具有优先级 0(最低)的防火墙规则
    1. 放行
    2. 强制允许
    3. 拒绝
    4. 允许(请注意,允许规则只能分配优先级 0(最低)
如果计算机上没有任何允许规则生效,除非被拒绝规则特别阻止,否则将允许所有流量。创建单个允许规则后,除非其满足允许规则的条件,否则将阻止所有其他流量。此情况有一个例外:除非拒绝规则明确阻止 ICMPv6 网络通信,否则始终允许该网络通信。

在同一优先级上下文中,拒绝规则会覆盖允许规则,而强制允许规则将会覆盖拒绝规则。通过使用规则优先级系统,可以制订较高优先级的拒绝规则来覆盖较低优先级的强制允许规则。

假设有一个 DNS 服务器策略使用强制允许规则允许所有传入 DNS 查询。如果创建一个优先级高于该强制允许规则的拒绝规则,则可指定一个特定 IP 地址范围以禁止这些 IP 地址访问同一个公共服务器。

通过基于优先级的规则集,您可以设置应用规则时所要依据的顺序。如果已设置具有最高优先级的拒绝规则,而且同一优先级中没有强制允许规则,则会自动丢弃匹配该拒绝规则的任何数据包,并忽略其余的规则。相反地,如果具有最高优先级标志集的强制允许规则存在,则会自动允许匹配该强制允许规则的任何传入数据包通过,且不针对任何其他规则进行检查。

有关记录的注意事项

放行规则从不生成事件。此选项不可配置。

仅当符合规则的数据包后来没有被下列任一规则阻止时,仅记录规则才会生成事件:

  • 拒绝规则,或
  • 排除该数据包的允许规则。

如果数据包被上述两种规则中的一种阻止,则这些规则(但不是仅记录规则)将生成事件。如果没有后续规则停止数据包,则仅记录规则会生成事件。

防火墙规则如何协作

趋势科技服务器深度安全防护系统防火墙规则既有规则处理措施,又有规则优先级。这两种属性配合使用可让您创建非常有弹性且功能强大的规则集。其他防火墙使用的规则集可能要求依照运行时应有的顺序定义规则,与此不同的是,趋势科技服务器深度安全防护系统防火墙规则是根据规则处理措施和规则优先级的确定顺序运行的,与其定义或分配的顺序无关。

规则操作

每个规则可以有五种处理措施之一。

  1. 放行:如果数据包符合放行规则,则无论同一优先级级别的其他任意规则为何,数据包均可通过防火墙和入侵防御引擎
  2. 仅记录:如果数据包符合仅记录规则,则该数据包会通过,该事件将被记录。
  3. 强制允许:如果数据包符合强制允许规则,则无论同一优先级级别的其他规则是什么,数据包均可通过。
  4. 拒绝:如果数据包符合拒绝规则,则会被丢弃。
  5. 允许:如果数据包符合允许规则,则可以通过。不符合允许规则之一的任何流量都会被拒绝。

实行允许规则将导致拒绝允许规则未特别覆盖的所有其他流量:

“拒绝”规则可以优先于“允许”规则执行,以阻止某些类型的流量:


“强制允许”规则可以应用于被拒绝的流量之上,以允许某些异常经过:

规则优先级

拒绝强制允许类型的规则处理措施可以在 5 种优先级的任一种中加以定义,以便进一步修正允许规则集所定义的允许流量。规则以最高(优先级 4)到最低(优先级 0)的优先级顺序运行。在特定的优先级级别中,规则是根据规则操作的顺序(强制允许、拒绝、允许、仅记录)得到处理的。

优先级上下文可让用户使用拒绝/强制允许组合依次修正流量控制,以达到更大的灵活性。在同一优先级上下文中,可以使用拒绝规则否定允许规则,也可以使用强制允许规则否定拒绝规则。

允许类型的规则处理措施只在优先级为 0 时运行,而仅记录类型的规则处理措施只在优先级为 4 时运行。

组合使用规则操作和规则优先级

规则以最高(优先级 4)到最低(优先级 0)的优先级顺序运行。在特定的优先级级别中,会根据规则处理措施的顺序处理规则。优先级相同的规则处理顺序如下:

  • 放行
  • 仅记录
  • 强制允许
  • 拒绝
  • 允许
请记住,允许类型的规则处理措施只在优先级为 0 时运行,而仅记录类型的规则处理措施只在优先级为 4 时运行。
请记住,如果强制允许规则和拒绝规则处于同一优先级,则强制允许规则比拒绝规则优先,因此将会允许符合强制允许规则的流量。
联系技术支持
支持
联系 eSupport
趋势科技成功案例
了解漏洞
威胁百科全书
上次修改时间: 5 月 29, 2020