(一)行為管理策略原理是什么����?
(1) 為了對數(shù)據(jù)流進行統(tǒng)一控制,方便用戶配置和管理����,設(shè)備引入了行為管理策略的概念��。通過配置行為管理策略�,網(wǎng)關(guān)能夠?qū)?jīng)過設(shè)備的數(shù)據(jù)流進行有效的控制和管理。
(2) 當(dāng)網(wǎng)關(guān)收到數(shù)據(jù)報文時�����,把該報文的方向�����、源地址�、目的地址�、協(xié)議�、端口等信息和用戶配置的策略匹配,決定是否建立這條數(shù)據(jù)流�,并且把這條流和匹配的策略關(guān)聯(lián)起來���,從而確定如何處理該流的后續(xù)報文,實現(xiàn)允許����、丟棄。對于允許的數(shù)據(jù)流還可以選擇是否進行應(yīng)用層業(yè)務(wù)的相關(guān)處理�����。
(3) 應(yīng)用層業(yè)務(wù)處理支持IPS�、病毒防護、URL過濾�、關(guān)鍵字過濾等特性,可以根據(jù)防護規(guī)則對數(shù)據(jù)流進行阻斷或告警。沒有匹配I規(guī)則的數(shù)據(jù)流將放行
(4) 在沒有配置任何行為管理策略的情況下�����,系統(tǒng)默認有一條全any放行的策略����,對于經(jīng)過設(shè)備的所有數(shù)據(jù)流,其缺省策略為直接放行��。
(5) 行為管理策略按從上到下順序匹配的原則���,只對通過設(shè)備的數(shù)據(jù)流進行處理�����,對于到設(shè)備本身的數(shù)據(jù)流和設(shè)備本身發(fā)出的數(shù)據(jù)流不進行限制��。
行為管理配置要點有哪些行為管理策略由三個部分組成:匹配條件(即報文的過濾條件,如源/目的區(qū)域���、源/目的IP地址��、服務(wù)、應(yīng)用等)��、處理動作(允許、拒絕)以及內(nèi)容安全檢查(如IPS、AV)�����。行為管理配置要點有哪些
- 匹配條件用于匹配報文的屬性信息,即明確需要對哪些報文進行檢測和處理�����;多個匹配條件之間是與的關(guān)系�����,即同時滿足多個過濾條件則成功匹配行為管理策略���;當(dāng)存在多個行為管理策略時,將按配置順序逐條向下匹配��,直到匹配成功;
- 匹配成功的報文將會按照處理動作進行轉(zhuǎn)發(fā)(允許)或丟棄并記錄安全日志(拒絕)�;
- 若行為管理策略中啟用了內(nèi)容安全檢查相關(guān)功能��,那么行為管理策略會將報文轉(zhuǎn)發(fā)給入侵防護���、病毒防護、URL過濾等模塊進行內(nèi)容安全檢查���。 匹配URL過濾�、關(guān)鍵字過濾���、入侵防御或防病毒策略的報文將會按照對應(yīng)的處理動作進行轉(zhuǎn)發(fā)并記錄安全日志(告警)或丟棄(阻斷)���;未匹配的報文則直接放行���。
(二)行為管理配置要點有哪些�?
行為管理策略由三個部分組成:匹配條件(即報文的過濾條件,如源/目的區(qū)域����、源/目的IP地址、服務(wù)�����、應(yīng)用等)���、處理動作(允許�����、拒絕)以及內(nèi)容安全檢查(如IPS、AV)
- 匹配條件用于匹配報文的屬性信息����,即明確需要對哪些報文進行檢測和處理�;多個匹配條件之間是與的關(guān)系�,即同時滿足多個過濾條件則成功匹配行為管理策略���;當(dāng)存在多個行為管理策略時,將按配置順序逐條向下匹配�����,直到匹配成功����;
- 匹配成功的報文將會按照處理動作進行轉(zhuǎn)發(fā)(允許)或丟棄并記錄安全日志(拒絕)���;
- 若行為管理策略中啟用了內(nèi)容安全檢查相關(guān)功能���,那么行為管理策略會將報文轉(zhuǎn)發(fā)給入侵防護��、病毒防護��、URL過濾等模塊進行內(nèi)容安全檢查����。 匹配URL過濾、關(guān)鍵字過濾�����、入侵防御或防病毒策略的報文將會按照對應(yīng)的處理動作進行轉(zhuǎn)發(fā)并記錄安全日志(告警)或丟棄(阻斷)�����;未匹配的報文則直接放行���。
(三)行為管理處理模擬運行的應(yīng)用場景是什么�?如何配置?
在日常運維過程中���,隨著業(yè)務(wù)的累加���、運維人員的變更等因素����,行為管理策略的配置復(fù)雜度會越來越高����。在運維的中后期,對策略的修訂時����,由于配置不當(dāng),導(dǎo)致業(yè)務(wù)中斷的風(fēng)險也隨著策略的復(fù)雜度越來越高��。網(wǎng)關(guān)提供了一個虛擬的策略空間����,供運維人員對策略的改動做驗證測試�����,但不影響真實網(wǎng)絡(luò)環(huán)境中的業(yè)務(wù)��,即模擬空間中的行為管理策略不會對真實業(yè)務(wù)流量做放行�����、阻斷的操作�。該功能解決了運維中由于配置不當(dāng)導(dǎo)致業(yè)務(wù)中斷等痛點問題�����,給運維人員提供一個測試驗證環(huán)境����,從而降低了運維難度和風(fēng)險��,降低運維成本���。
【操作步驟】
(1) 點擊[策略配置]>>[行為管理]>>[行為管理]菜單項����。
(2) 點擊操作區(qū)右上角的<進入模擬空間>按鈕��。
(3) 勾選需要模擬運行的策略�,點擊<開始模擬運行>,并設(shè)置模擬運行時長�。
【后續(xù)處理】
在策略模擬空間中,運維人員可以將當(dāng)前實際生效的安全策略拷貝導(dǎo)入到其中���,并對策略做期望的改動�。例如��,根據(jù)業(yè)務(wù)需求新增�、修訂、刪除策略��。
在運維人員驗證確認模擬空間中的安全策略無問題后�,便可以將模擬空間中的安全策略導(dǎo)出生效����,替換當(dāng)前的安全策略。
(四)如何實現(xiàn)源NAT�����?
源NAT即對報文的源地址進行轉(zhuǎn)換���,通過配置NAT轉(zhuǎn)換策略實現(xiàn)����,策略中需要指定源區(qū)域、源地址�、目的區(qū)域���、目的地址及轉(zhuǎn)換后的數(shù)據(jù)包�����。
(五)是否支持線路探測���?
支持
(六)如何實現(xiàn)源NAT���?
源NAT即對報文的源地址進行轉(zhuǎn)換,通過配置NAT轉(zhuǎn)換策略實現(xiàn)�,策略中需要指定源區(qū)域、源地址�����、目的區(qū)域���、目的地址及轉(zhuǎn)換后的數(shù)據(jù)包��。
(七)網(wǎng)關(guān)在二次穿越的場景中會不會阻斷TCP會話����?
不會�����。但同一條報文流二次穿越設(shè)備時�,開啟SYN-FLOOD(DDoS功能)防護會觸發(fā)SYN-Cookie二次認證���,導(dǎo)致TCP連接無法正常建立。
(八)是否支持端口聚合����?
支持�����。
(九) 如何查看設(shè)備的CPU����、內(nèi)存����、磁盤等信息?
登錄Web管理界面����,在首頁查看設(shè)備CPU、內(nèi)存����、磁盤的使用情況。
(十)如何查看設(shè)備接口流量���?
登錄Web管理界面���,點擊[安全監(jiān)控]>>[流量監(jiān)控]>> [接口流量]>> [接口流量統(tǒng)計],可以查看接口流量����。
(十一)是否支持IPsec VPN ?
支持。
(十二)什么是流量學(xué)習(xí)��?有什么作用?
設(shè)備開局配置時,用戶需要分析一段時間的流量日志后���,才能梳理出當(dāng)前網(wǎng)絡(luò)中存在的資產(chǎn)���。而流量學(xué)習(xí)功能能夠自動分析流量日志,通過用戶設(shè)定的需要分析的資產(chǎn)IP或IP范圍���,梳理當(dāng)前網(wǎng)絡(luò)中的資產(chǎn)IP��、開放的端口及資產(chǎn)之間的訪問關(guān)系呈現(xiàn)給用戶�����。
(十三)什么是端口掃描���?有什么作用����?是否支持IPv6?
端口掃描功能可以幫助管理員快速地了解內(nèi)網(wǎng)服務(wù)器的IP及開放的端口信息���,并且可根據(jù)掃描結(jié)果選擇是否生成行為管理策略,以便幫助構(gòu)建企業(yè)內(nèi)網(wǎng)的安全性����。目前不支持IPv6。
發(fā)布時間:2024-06-14
點擊量:347
