Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加规则

你在这里: 安全策略 和对象 > 安全策略

注意:

要在安全策略规则中引用 UTM 策略和 AppQoS 配置文件,请根据需要在创建或编辑安全策略规则之前创建 UTM 策略和 AppQoS 配置文件。要创建 UTM 策略,请转至安全服务 > UTM > UTM 策略;要创建 AppQoS 配置文件,请转至网络>应用程序 QoS

要添加规则:

  1. 单击“安全策略”页面右上角的添加图标 (+)。

    将显示内联可编辑字段。

  2. 根据 表 1 中提供的指南完成配置。
  3. 完成配置后,单击行右侧的勾号图标。
    注意:

    如果在创建新规则时内联勾号和取消图标不可用,请向后滚动水平条。
  4. 单击“保存”保存更改,或单击“放弃放弃更改。
    注意:

    必须先执行步骤 3 和步骤 4 ,然后才能在 J-Web UI 中执行任何进一步操作。
表 1:安全策略页面上的字段

领域

行动

规则名称

输入新规则或策略的名称。

规则说明

输入安全策略的描述。

全球政策

启用此选项可指定定义的策略是全局策略,并且不需要区域。

源区域

要添加源:

  1. 单击 +

    此时将显示“选择源”页面。

  2. 输入以下详细信息:

    • 区域 - 从列表中选择要与规则关联的源区域。

    • 地址 - 选择 任意特定

      注意:

      • 从 Juons OS 版本 21.4R1 开始,您可以选择 IP 源来定义策略的匹配标准。此外,您还可以在新类型列中查看源类型(地址、地址组、通配符、范围、IP 源)。

      • 仅当您注册了瞻博网络 ATP 云时,才会显示源。您也可以使用命令 下载 request services security-intelligence download源。

      要选择特定地址或 IP 源,请从“可用”列中选择地址或 IP 源,然后单击向右箭头将其移动到“已选择”列。可以选择“排除 选定项” 以仅从列表中排除所选地址。

      要创建新地址,请点击 +。此时将显示“创建地址”页面。有关字段的详细信息,请参阅 表 2

    • 源身份 - 从可用列中选择用户身份,然后单击向右箭头将其移动到所选列。

      要创建源身份,请单击 +。在“创建源身份”页面中输入新的用户名或身份,然后单击 “确定”。

    • 身份源 — 从 Juons OS 版本 21.4R1 开始,您可以选择用户身份威胁源来定义策略的匹配标准。

      从“可用”列中选择用户身份威胁源,然后单击向右箭头将其移动到“所选”列。

      最大用户身份威胁源计数为 1024。即,每个策略的源身份馈送和目标身份馈送的总和。

      注意:

      仅当您注册了瞻博网络 ATP 云时,才会显示源。您也可以使用命令 下载 request services security-intelligence download源。

目标区域

要添加目标:

  1. 单击 +

    此时将显示“选择目标”页面。

  2. 输入以下详细信息:

    • 区域 - 从列表中选择要与规则关联的目标区域。

    • 地址 - 选择 任意特定

      注意:

      • 从 Juons OS 版本 21.4R1 开始,您可以选择 IP 源来定义策略的匹配标准。此外,您还可以在新类型列中查看源类型(地址、地址组、通配符、范围、IP 源)。

      • 仅当您注册了瞻博网络 ATP 云时,才会显示源。您也可以使用命令 下载 request services security-intelligence download源。

      要选择特定地址或 IP 源,请从“可用”列中选择地址或 IP 源,然后单击向右箭头将其移动到“已选择”列。可以选择“排除 选定项” 以仅从列表中排除所选地址。

      要创建新地址,请点击 +。有关字段的详细信息,请参阅 表 2

    • 动态应用程序 - 选择 “任何”、“ 特定”或 “无”。

      注意:

      租户不支持“动态应用程序”选项。

      若要选择特定应用程序,请从“可用”列中选择应用程序,然后单击向右箭头将其移动到“已选择”列。

      注意:

      “全选”复选框仅在搜索特定动态应用程序时可用。

      要创建新应用程序,请单击 +。此时将显示“创建应用程序签名”页。有关字段的详细信息,请参阅 添加应用程序签名

      注意:

      对于逻辑系统,不能以内联方式创建动态应用程序。

    • 服务 - 选择 任何特定

      若要选择特定服务,请从“可用”列中选择该服务,然后单击向右箭头将其移动到“已选择”列。

      要创建新服务,请单击 +。此时将显示“创建服务”页面。有关字段的详细信息,请参阅 表 3

    • URL 类别 - 选择 任意特定 以匹配 Web 过滤类别的条件。

      若要选择特定的 URL 类别,请从“可用”列中选择 URL 类别,然后单击向右箭头将其移动到“已选择”列。

      注意:

      此选项不适用于逻辑系统和租户。

    • 目标身份源 — 从 Juons OS 版本 21.4R1 开始,您可以选择用户身份威胁源来定义策略的匹配标准。

      从“可用”列中选择用户身份威胁源,然后单击向右箭头将其移动到“所选”列。

      最大用户身份威胁源计数为 1024。即,每个策略的源身份馈送和目标身份馈送的总和。

      注意:

      仅当您注册了瞻博网络 ATP 云时,才会显示源。您也可以使用命令 下载 request services security-intelligence download源。

行动

选择流量符合条件时要执行的操作:

  • 允许 — 允许数据包通过防火墙。

  • 拒绝 — 阻止并丢弃数据包,但不将通知发送回源。

  • 拒绝 — 阻止并丢弃数据包,并向源主机发送通知。
高级服务

单击 +。此时将显示“选择高级服务”页面。

注意:

  • 当操作为“拒绝”时:

    • 您只能配置 SSL 代理和重定向配置文件选项。

    • 如果动态应用程序为“无”,则只能配置 SSL 代理选项。

    • 逻辑系统和租户不支持高级安全选项。

  • 当操作为“允许”时:

    • 对于逻辑系统,仅支持 IPS、IPS 策略、UTM、威胁防御策略、ICAP 重定向配置文件和 AppQOS 选项。

    • 对于租户系统,仅支持威胁防御策略和 AppQOS。

SSL 代理

从列表中选择要与此规则关联的 SSL 代理策略。

Utm

从列表中选择要与此规则关联的 UTM 策略。该列表显示所有可用的 UTM 策略。

如果要创建新的 UTM 策略,请单击 新增。此时将显示创建 UTM 策略页面。有关创建新 UTM 策略的详细信息,请参阅 添加 UTM 策略

IPS 策略

从列表中选择 IPS 策略。

威胁防御策略

从列表中选择配置的威胁防御策略。

ICAP 重定向配置文件

从列表中选择已配置的 ICAP 重定向配置文件名称。

IPsec VPN

从列表中选择 IPsec VPN 隧道。

注意:

如果选择目标中的动态应用程序,则不支持 IPsec VPN 选项。

配对策略名称

以相反的方向输入具有相同 IPsec VPN 的策略名称,以创建配对策略。

注意:

如果在目标中选择动态应用程序,则不支持配对策略名称选项。

应用程序 QoS 配置文件

从列表中选择已配置的 AppQoS 配置文件。

如果要创建新的 AppQoS 配置文件,请单击 新增。此时将显示“添加 AppQoS 配置文件”页面。有关创建新的 AppQoS 配置文件的详细信息,请参阅 添加应用程序 QoS 配置文件

威胁分析

从 Juons OS 版本 21.4R1 开始,您可以启用此选项以生成威胁分析源。

注意:

仅当您注册了瞻博网络 ATP 云时,才会显示源。您也可以使用命令 下载 request services security-intelligence download源。

您可以将源地址和目标地址以及源和目标身份添加到威胁源。生成源后,您可以配置其他安全策略以使用这些源来匹配指定的流量并执行策略操作。

  • 将源 IP 添加到源 - 从列表中选择威胁源以将其添加到源 IP 地址。

  • 将源身份添加到源 - 从列表中选择威胁源以将其添加到源用户身份。

  • 将目标 IP 添加到源 - 从列表中选择威胁源以将其添加到目标 IP 地址。

  • 将目标身份添加到源 - 从列表中选择威胁源以将其添加到目标用户身份。

数据包捕获

启用此选项可捕获特定于安全策略规则的未知应用程序流量。

默认情况下,此选项处于禁用状态。启用后,您可以查看数据包捕获 (PCAP) 文件详细信息或在监视器>日志>会话页面上下载 PCAP 文件。
规则选项

单击 规则选项。此时将显示“选择规则选项”页。
测 井

会话启动

启用此选项可在创建会话时记录事件。

会话结束

启用此选项可在会话关闭时记录事件。

计数

启用此选项可收集使用此策略通过防火墙的数据包、字节数和会话数的统计信息。

指定统计计数。只要流量超过指定的数据包和字节阈值,就会触发告警。

注意:

如果未启用启用计数,则会禁用警报阈值字段。

认证
注意:

  • 如果在目标中选择动态应用程序,则不支持身份验证选项。

  • 逻辑系统和租户系统不支持此选项。

将身份验证条目推送到 JIMS

启用此选项可将处于身份验证成功状态的防火墙身份验证条目推送到瞻博网络身份管理服务器 (JIMS)。这将使 SRX 系列防火墙能够查询 JIMS 以获取 IP/用户映射和设备信息。

这不是强制选项。当在本地 Active Directory 上至少配置了一个域或配置身份管理时,您可以选择它。

类型

从列表中选择防火墙身份验证类型。可用选项包括:“无”、“直通”、“用户防火墙”和“Web 身份验证”。

访问配置文件

从列表中选择访问配置文件。

注意:

如果选择身份验证类型作为 Web 身份验证,则不支持此选项。

客户端名称

输入客户端用户名或客户端用户组名称。

注意:

如果选择身份验证类型作为用户防火墙,则不支持此选项。

从列表中选择必须位于客户端名称中的域名。

注意:

仅当选择身份验证类型作为用户防火墙时,才支持此选项。

网页重定向 (http)

启用此选项可将 HTTP 请求重定向到设备的内部 Web 服务器,方法是向客户端系统发送重定向 HTTP 响应以重新连接到 Web 服务器进行用户身份验证。

注意:

如果选择身份验证类型作为 Web 身份验证,则不支持此选项。

强制门户

启用此选项可将客户端 HTTP 或 HTTPS 请求重定向到设备的内部 HTTPS Web 服务器。配置 SSL 终止配置文件时,将重定向 HTTPS 客户端请求。

注意:

如果选择身份验证类型作为 Web 身份验证,则不支持此选项。

接口

为重定向客户端 HTTP 或 HTTPS 请求的 Web 服务器选择一个接口。

注意:

创建策略后,无法对其进行编辑。要编辑接口,请转至网络>连接>接口

IPv4 地址

输入重定向客户端 HTTP 或 HTTPS 请求的 Web 服务器的 IPv4 地址。

注意:

创建策略后,无法对其进行编辑。要编辑接口,请转至网络>连接>接口

SSL 终止配置文件

从包含 SSL 终止连接设置的列表中选择 SSL 终止配置文件。SSL 终止是 SRX 系列设备充当 SSL 代理服务器,终止来自客户端的 SSL 会话的过程。

要添加新的 SSL 终止配置文件,请执行以下操作:

  1. 单击 “添加”。

    此时将显示“创建 SSL 终止配置文件”页面。

  2. 输入以下详细信息:

    • 名称 - 输入 SSL 终止配置文件名称;最多 63 个字符。

    • 服务器证书 - 从列表中选择用于验证服务器身份的服务器证书。

      若要添加证书,请单击 “添加”。有关添加设备证书的详细信息,请参阅 添加设备证书

      要导入证书,请单击 导入。有关导入设备证书的详细信息,请参阅 导入设备证书

仅身份验证浏览器

启用此选项可丢弃非浏览器 HTTP 流量,以允许将强制门户呈现给使用浏览器请求访问的未经身份验证的用户。

注意:

如果选择身份验证类型作为 Web 身份验证,则不支持此选项。

用户代理

输入用户代理值,该值用于验证用户的浏览器流量是否为 HTTP/HTTPS 流量。

注意:

如果选择身份验证类型作为 Web 身份验证,则不支持此选项。
高级设置

目标地址转换

从列表中选择要对目标地址转换执行的操作。可用选项包括:“无”、“删除翻译”和“删除未翻译”。

重定向选项

从列表中选择重定向操作。可用选项包括:“无”、“重定向 Wx”和“反向重定向 Wx”。

注意:

SRX5000系列设备都不支持此选项。
TCP 会话选项

序列号检查

在策略规则级别进行状态检查期间,启用或禁用 TCP 段中的序列号检查。默认情况下,检查在全局级别进行。为避免提交失败,请关闭“全局选项”下的“序列号检查”>“流> TCP 会话”。

SYN 标志检查

在策略规则级别创建会话之前,启用或禁用对 TCP SYN 位的检查。默认情况下,检查在全局级别进行。为避免提交失败,请关闭“全局选项”>“流> TCP 会话”下的 SYN 标志检查
附表

附表

单击 计划 ,然后从列表中选择一个已配置的计划。

若要添加新计划,请单击 “添加新计划”。此时将显示“添加新计划”页。有关创建新计划的详细信息,请参阅 表 4
表 2:创建地址页面上的字段

领域

行动

名字

输入地址的名称。名称必须是唯一的字符串,必须以字母数字字符开头,并且可以包含冒号、句点、短划线和下划线;不允许有空格;最多 63 个字符。

IP 类型

选择 IPv4IPv6
IPv4

IPv4 地址

输入有效的 IPv4 地址。

输入 IPv4 地址的子网掩码。
IPv6

IPv6 地址

输入有效的 IPv6 地址。

子网前缀

输入 IPv6 地址的子网前缀。
表 3:创建服务页面上的字段

领域

行动
全局设置

名字

输入应用程序的唯一名称。

描述

输入应用程序的说明。

应用程序协议

从列表中选择应用程序协议的选项。

匹配 IP 协议

从列表中选择一个选项以匹配 IP 协议。

源端口

从列表中选择源端口的选项。

目标端口

从目标端口列表中选择一个选项。

ICMP 类型

从列表中选择 ICMP 消息类型的选项。

ICMP 代码

从列表中选择 ICMP 消息代码的选项。

RPC 程序编号

输入 RPC 程序编号的值。

值的格式必须为 W 或 X-Y。其中,W、X 和 Y 是介于 0 和 65535 之间的整数。

不活动超时

从列表中选择应用程序特定的非活动超时选项。

Uuid

为 DCE RPC 对象输入一个值。

注意:

值的格式必须为 12345678-1234-1234-1234-123456789012。

自定义应用程序组

从列表中选择应用程序集名称。
条款

单击 +。此时将显示“创建术语”页面。

名字

输入术语的名称。

ALG

从列表中选择 ALG 选项。

匹配 IP 协议

从列表中选择一个选项以匹配 IP 协议。

源端口

从列表中选择源端口的选项。

目标端口

从目标端口列表中选择一个选项。

ICMP 类型

从列表中选择 ICMP 消息类型的选项。

ICMP 代码

从列表中选择 ICMP 消息代码的选项。

RPC 程序编号

输入 RPC 程序编号的值。

注意:

值的格式必须为 W 或 X-Y。其中,W、X 和 Y 是介于 0 和 65535 之间的整数。

不活动超时

从列表中选择应用程序特定的非活动超时选项。

Uuid

为 DCE RPC 对象输入一个值。

注意:

值的格式必须为 12345678-1234-1234-1234-123456789012。
表 4:添加新计划页面上的字段

领域

行动

名字

输入计划的名称。

描述

输入计划的说明。

重复

从列表中选择一个选项以重复计划:

  • 从来 没有

  • 日常

  • 每周

全天

启用此选项可将事件安排一整天。

此选项仅适用于从不和每日重复类型计划。

开始日期

以 YYYY-MM-DD 格式选择计划开始日期。

此选项仅适用于永不重复类型计划。

停止日期

以 YYYY-MM-DD 格式选择计划停止日期。

此选项仅适用于永不重复类型计划。

开始时间

以 HH:MM:SS 24 小时格式输入计划的开始时间。

此选项仅适用于每日重复类型计划。

停止时间

以 HH:MM:SS 24 小时格式输入计划的结束时间。

此选项仅适用于每日重复类型计划。

重复

选择要重复计划的日期和时间。

要为所选日期设置时间:

  1. 单击“ 设置 时间”或 “将时间设置为所选日期”。

    此时将显示“将时间设置为选定日期”页面。

  2. 输入以下详细信息:

    • 名称 - 显示您选择的日期。

    • 全天 - 启用此选项,以使事件全天运行。

    • 开始时间 - 以 HH:MM:SS 24 小时格式输入开始时间。

    • 停止时间 - 以 HH:MM:SS 24 小时格式输入停止时间。

  3. 单击 “确定 ”保存更改。

此选项仅适用于每周重复类型计划。

计划标准

选择以下任一选项:

  • 计划永不停止 - 计划可以永久处于活动状态(定期),但只能按照每日或每周计划指定。

  • 计划指定窗口 - 计划可以在单个时间段内处于活动状态,由开始日期和停止日期指定。

    输入以下详细信息:

    • 计划开始时间 - 以 YYYY-MM-DD 格式输入计划开始日期。

    • 计划结束 - 以 YYYY-MM-DD 格式输入计划开始日期。

此选项仅适用于“每日”和“每周重复”类型的计划。

相关文档