防火墙规则
防火墙规则会检查单个数据包中的控制信息。然后,根据这些页面中定义的规则来阻止或允许数据包。防火墙规则直接分配到计算机,或分配到策略再转而分配到计算机或计算机组。
Solaris 客户端将仅检查 IP 帧类型的数据包,Linux 客户端将仅检查 IP 或 ARP 帧类型的数据包。将允许其他帧类型的数据包通过。请注意,虚拟设备没有这些限制,可以检查所有帧类型,而不管它所保护的虚拟机是什么操作系统。
防火墙规则图标:
-
常规防火墙规则 -
根据时间表运行的防火墙规则
在主页面上可以执行下列操作:
- 新建 (
) 防火墙规则 - 从 XML 文件(位于新建菜单下)导入 (
) 防火墙规则。 - 查看或修改现有防火墙规则的属性 (
) - 复制(然后修改)现有的防火墙规则 (
) - 删除防火墙规则 (
) - 将一个或多个防火墙规则导出 (
) 到 XML 或 CSV 文件。(可以单击导出按钮导出所有目录列表,或者也可以从列表中选择目录列表以便仅导出选定的目录列表或所显示的目录列表) - 添加或删除列 (
) 通过单击添加/删除列可添加或删除列。通过将列拖曳到新的位置,可以控制列的显示顺序。可按照任意列的内容来排序和搜索所列出的项目。
无法删除已分配给一台或多台计算机或属于策略的防火墙规则。
单击新建 () 或属性 () 显示防火墙规则属性窗口。
防火墙规则属性
常规信息
- 名称: 防火墙规则的名称。
- 描述: 防火墙规则的详细描述。
- 操作:防火墙规则有四种不同的行为方式。下面按照优先级对此进行说明:
- 网络通信可以完全绕开防火墙。这是一个特殊规则,可造成数据包完全绕开防火墙和入侵防御引擎。对于不需要过滤的媒体密集协议,可使用此设置。要了解放行规则的更多信息,请参阅参考一节中的“放行规则”。
- 它可以是仅记录。这意味着它只会在日志中写入条目,而不干扰网络通信。
- 它可以强制允许定义的网络通信(将允许此规则所定义的网络通信,但不 排除其他任何网络通信)。
- 它可以拒绝网络通信(拒绝此规则定义的网络通信)。
- 它可以允许网络通信(将单方面 允许此规则所定义的网络通信)。
如果计算机上没有任何允许规则生效,除非被拒绝规则特别阻止,否则将允许所有流量。一旦创建了单个允许规则,就会阻止所有其他网络通信,除非满足允许规则的要求。此情况有一个例外:除非拒绝规则明确阻止 ICMPv6 网络通信,否则始终允许该网络通信。
对于任何特定的数据包只会应用一个规则操作,优先级相同的规则按上述顺序应用。 - 优先级:如果选择“强制允许”、“拒绝”或“仅记录”作为规则操作,则可以在此处设置 0(低)到 4(最高)的优先级。设置优先级可让您结合规则操作实现一系列规则效果。仅记录规则的优先级只能是 4,而允许规则的优先级只能是 0。
优先级确定规则的应用顺序。先应用高优先级的规则,然后应用低优先级的规则。例如,在对数据包应用优先级为 2 的端口 80 传入强制允许规则之前,优先级为 3 的端口 80 传入拒绝规则会丢弃该数据包。
- 数据包流向:选择此规则是要应用到传入还是传出网络通信。
- 帧类型:选择帧类型。使用非复选框可指定是要过滤该帧类型,还是过滤除该帧类型以外的其他任何类型。
您可以仅选择 IPv4 或 IPv6。要指定其中之一(两者),请选择 IP。有关帧类型的列表,请访问 Internet Assigned Numbers Authority (IANA) Web 站点。
- 协议: 选择或指定规则查找的协议。使用此复选框可指定是要过滤该协议,还是过滤除该协议以外的其他任何 协议。
您可以从预定义的常用协议下拉列表中选择,也可以选择“其他”,然后自行输入协议代码(介于 0 和 255 之间的三位数十进制值)。
数据包源
下列选项适用于数据包标头的源信息:
- IP:指定 IP 地址、屏蔽的 IP 地址和 IP 范围,或从您在 IP 列表页面中定义的 IP 列表中选择 IP 列表。
- MAC:指定 MAC 地址,或从您在 MAC 列表页面中定义的 MAC 列表中选择 MAC 列表。
- 端口:您可以在端口选项中指定逗号分隔的端口号列表或短划线分隔的端口范围,以及单个端口(例如 80、443、1-100),或从您在端口列表页面中定义的端口列表中选择端口列表。
数据包目标
下列选项适用于数据包标头的目标信息:
- IP:指定 IP 地址、屏蔽的 IP 地址和 IP 范围,或从您在 IP 列表页面中定义的 IP 列表中选择 IP 列表。
- MAC:指定 MAC 地址,或从您在 MAC 列表页面中定义的 MAC 列表中选择 MAC 列表。
- 端口:您可以在端口选项中指定逗号分隔的端口列表或短划线分隔的端口范围,以及单个端口(例如 80、443、1-100),或从您在端口列表页面中定义的端口列表中选择端口列表。
特定标志
如果在以上“常规信息”一节中选择了 TCP、ICMP 或 TCP+UDP 作为协议,您可以指示防火墙规则观察特定的标志。
事件
根据此规则选择是否启用或禁用日志记录事件。如果启用事件日志记录,则可以使用事件记录数据包数据。
请注意,任何形式的允许规则(允许、强制允许和绕开)都不会记录任何事件,因为它们会塞满数据库。
警报
选择此防火墙规则是否在触发时触发警报。如果只希望此规则在特定时间段处于活动状态,请从列表分配一个时间表。
只能将“操作”设置为“拒绝”或“仅记录”的防火墙规则配置为触发警报。(这是因为警报是由计数器触发的,而计数器会随着日志文件中数据的增加而递增。)
时间表
选择是否应只在预设时间段激活防火墙规则。
只在预设时间活动的防火墙规则显示于防火墙规则页面时,其图标上方有一个小时钟 。
。
通过基于客户端的防护,时间表使用与端点操作系统相同的时区。对于无客户端防护,时间表使用与趋势科技服务器深度安全防护系统虚拟设备相同的时区。无客户端防护不适用于趋势科技服务器深度安全防护系统即服务。
上下文
规则上下文是根据计算机网络环境实施不同安全策略的强大途径。上下文最常用于创建以下策略:该策略根据计算机(通常是便携式计算机)是在办公室内还是办公室外应用不同的防火墙和入侵防御规则。
上下文与防火墙规则和入侵防御规则相关联。如果满足了上下文中定义的与规则相关的条件,则应用此规则。
为了确定计算机的位置,上下文会检查计算机与其域控制器连接的性质。有关上下文的更多信息,请参阅策略 > 通用对象 > 其他 > 上下文。
对于使用上下文实施防火墙规则的策略的示例,请查看“Windows 便携式计算机”策略的属性。
已分配给
此选项卡显示含有此防火墙规则的策略列表,以及此防火墙规则直接分配到的所有计算机。可以在策略页面上将防火墙规则分配给策略;可以在计算机页面上将防火墙规则分配给计算机。
