返回
联想网御防火墙powerv web界面操作手册_5策略配置

联想网御防火墙powerv web界面操作手册_5策略配置

ID:12900624

大小:2.13 MB

页数:28页

时间:2018-07-19

联想网御防火墙powerv web界面操作手册_5策略配置_第1页
联想网御防火墙powerv web界面操作手册_5策略配置_第2页
联想网御防火墙powerv web界面操作手册_5策略配置_第3页
联想网御防火墙powerv web界面操作手册_5策略配置_第4页
联想网御防火墙powerv web界面操作手册_5策略配置_第5页
资源描述:

《联想网御防火墙powerv web界面操作手册_5策略配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网御防火墙PowerVWeb界面操作手册第5章策略配置本章是防火墙配置的重点。符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。错误的安全规则不但有可能使得防火墙形同虚设,甚至有可能妨碍网络正常功能的使用。5.1安全选项安全选项提供防火墙可设置的一些全局安全策略,包括包过滤策略、抗攻击策略、IP/MAC检查开关和是否允许除IP和ARP之外的其他二层协议通过。这些参数对整个防火墙生效。界面如下图所示:图51安全选项配置5.1.1包过滤策略5-28联想集团有限公司网御防火墙PowerVWeb界面操作手

2、册包过滤缺省允许策略:提供包过滤缺省策略的选项设置,选中为允许,不选为禁止。包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。如果包过滤缺省策略是禁止,用户添加的包过滤规则应该是允许哪些连接可以通过;如果包过滤缺省策略是允许,用户添加的包过滤规则应该是禁止哪些连接不能通过。严格的状态检测:选中为启用,不选为禁止。仅针对TCP连接。只有完成三次握手的TCP连接才创建状态,除此之外的任何TCP数据包都不创建状态。启用严格的状态检测,是为了防止ACK扫描攻击。因为如果没有严格的状态检测,那么

3、如果收到ACK置位的包,防火墙就会创建相应的状态,使得此连接可以通过防火墙。需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性,设置连接建立的时间时,就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。在某些特殊网络环境下,防火墙可能无法收到所有三次握手的数据包,此时就不能选中严格的状态检测。包过滤策略中还包括两项高级设置:图52安全选项高级设置规则配置立即生效:启用后为规则优先(缺省是状态优先)。如果不启用,当一个连接在防火墙上的建立起来后,设置了与原有的规则相反的规则,则此时数据包

4、仍能够根据建立的状态表通过防火墙;如果启用,则此时数据包根据设定的规则将无法通过防火墙。重新设置规则可能会造成已有连接中断。建议不启用。快速模式:启用后,转发性能有一定提高,但是影响部分功能(如非80端口的URL过滤和网页关键字过滤等功能)。建议不启用。5.1.1抗攻击设定全局的抗攻击选项,包括抗地址欺骗攻击,抗源路由攻击,抗Smurf攻击,抗LAND攻击,抗Winnuke攻击,抗Queso扫描,抗NMAP扫描,抗NULL扫描,抗圣诞树攻击,和抗FIN扫描。选中后,防火墙将对所有流经的数据包进行抗攻击检查。

5、5.1.2IP/MAC检查设定IP/MAC检查开关,以及是否允许未绑定IP/MAC对的包通过。选中后,防火墙将对流经的数据进行IP/MAC检查,未绑定IP/MAC对的数据包将被拒绝。请注意:如果设置了启动IP/MAC检查并且未选中允许未绑定IP/MAC对的数据包通过,则没有绑定IP/MAC对的计算机将无法与防火墙进行通信,包括管理主机。5.1.3允许所有二层协议5-28联想集团有限公司网御防火墙PowerVWeb界面操作手册设定是否允许除IP和ARP外的以太网协议通过。协议类型包括42种固定协议(其中IP和

6、ARP不可编辑)和5种自定义协议。自定义协议的维护界面如下图示:图53安全选项的自定义协议配置其中:名称是8位字母和数字的组合,协议号范围是1-65535,且3保留。还可以设定除以上协议外,是否允许其他类型的数据包通过。表5142种已定义二层协议表名称(协议号)说明LOOP(96)EthernetLoopbackpacketPUP(512)XeroxPUPpacketPUPAT(513)XeroxPUPAddrTranspacketIP(2048)InternetProtocolpacketX25(20

7、53)CCITTX.25ARP(2054)AddressResolutionpacketBPQ(2303)G8BPQAX.25EthernetPacketIEEEPUP(2560)XeroxIEEE802.3PUPpacketIEEEPUPAT(2561)XeroxIEEE802.3PUPAddrTranspacketDEC(24576)DECAssignedprotoDNA_DL(24577)DECDNADump/LoadDNA_RC(24578)DECDNARemoteConsoleHDLC(25)HD

8、LCframesLAT(24580)DECLATDIAG(24581)DECDiagnosticsCUST(24582)DECCustomeruseSCA(24583)DECSystemsCommsArchRARP(32821)ReverseAddrRespacketCONTROL(22)CardspecificcontrolframesLOCALTALK(9)LocaltalkpseudotypeMOBITEX

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。