Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

向安全策略添加规则

您在此处: 安全策略 & 对象 > 安全策略

注意:

要引用安全策略规则中的内容安全策略和 AppQoS 配置文件,请创建内容安全策略和 AppQoS 配置文件,然后再创建或编辑安全策略规则(如果需要)。要创建内容安全策略,请转至 “安全服务 > 内容安全 > 内容安全策略” 和“创建 AppQoS 配置文件”,转至 “网络 > 应用程序 QoS”。

要向安全策略添加规则:

  1. 单击“安全策略”页面右上角的 +

    将显示内联可编辑字段。

  2. 按照 表 1 中提供的准则完成配置。
  3. 完成配置后,单击行右上角的滴答图标。
    注意:

    如果在创建新规则时,内联滴答声和取消图标不可用,请向后滚动水平栏。
  4. 单击 “保存 ”以保存更改,或单击“ 丢弃 ”以丢弃更改。
    注意:

    在 J-Web UI 中执行任何进一步操作之前,必须执行步骤 3 和步骤 4
表 1:安全策略页面上的字段

领域

行动

规则名称

输入新规则或策略的名称。

规则说明

输入安全策略说明。

全局策略

启用此选项以指定定义的策略是全局策略,不需要区域。

源区域

要添加来源:

  1. 单击 +

    此时将显示“选择源”页面。

  2. 输入以下详细信息:

    • 区域 — 从要关联规则的列表中选择源区域。

    • 地址 — 选择 任意 地址或 特定地址。

      注意:

      • 您可以选择 IP 源来定义策略的匹配标准。此外,您还可以在新“类型”列中查看源类型(地址、地址组、通配符、范围、IP 源)。

      • 仅当您注册了瞻博网络 ATP 云时,信息源才会显示。您还可以使用命令 request services security-intelligence download下载源。

      要选择特定地址或 IP 源,请从“可用”列中选择地址或 IP 源,然后单击向右箭头将其移动到“选定”列。您可以选择 “排除已选择 ”,以仅从列表中排除所选地址。

      要创建新地址,请单击 +。此时将显示“创建地址”页面。有关字段的更多信息,请参阅 表 2

    • 源身份 — 从“可用”列中选择用户身份,然后单击右箭头将其移动到“选定”列。

      要创建源身份,请单击 +。在“创建源身份”页面输入新用户名或身份,然后单击 “确定”。

    • 源身份信息源 — 您可以选择用户身份威胁源来定义策略的匹配标准。

      从“可用”列中选择用户身份威胁信息源,然后单击右箭头将其移动到“选择”列。

      最大用户身份威胁源计数为 1024。也就是说,每个策略的源身份源和目标身份源的总和。

      注意:

      仅当您注册了瞻博网络 ATP 云时,信息源才会显示。您还可以使用命令 request services security-intelligence download下载源。

目标区域

要添加目标:

  1. 单击 +

    此时将显示“选择目标”页面。

  2. 输入以下详细信息:

    • 区域 — 从要将规则关联到的列表中选择目标区域。

    • 地址 — 选择 任意 地址或 特定地址。

      注意:

      • 您可以选择 IP 源来定义策略的匹配标准。此外,您还可以在新“类型”列中查看源类型(地址、地址组、通配符、范围、IP 源)。

      • 仅当您注册了瞻博网络 ATP 云时,信息源才会显示。您还可以使用命令 request services security-intelligence download下载源。

      要选择特定地址或 IP 源,请从“可用”列中选择地址或 IP 源,然后单击向右箭头将其移动到“选定”列。您可以选择 “排除已选择 ”,以仅从列表中排除所选地址。

      要创建新地址,请单击 +。有关字段的更多信息,请参阅 表 2

    • 动态应用程序 — 选择 任意特定

      注意:

      租户不支持“动态应用程序”选项。

      要选择特定应用程序,请从“可用”列中选择此应用程序,然后单击向右箭头将其移动到“选定”列。

      注意:

      仅当您搜索特定的动态应用程序时,“选择全部”复选框才可用。

      要创建新应用程序,请单击 +。将显示“创建应用程序签名”页面。有关字段的更多信息,请参阅 添加应用程序签名

      注意:

      对于逻辑系统,您无法内联创建动态应用程序。

    • 服务 — 选择 任意特定

      要选择特定服务,请从“可用”列中选择该服务,然后单击向右箭头将其移动到“选定”列。

      要创建新服务,请单击 +。此时将显示“创建服务”页面。有关字段的更多信息,请参阅 表 3

    • URL 类别 — 选择 任意特定 ,以匹配 Web 过滤类别的标准。

      要选择特定 URL 类别,请从“可用”列中选择 URL 类别,然后单击右箭头将其移动到“选定”列。

      注意:

      此选项不可用于逻辑系统和租户。

    • 目标身份信息源 — 您可以选择用户身份威胁源来定义策略的匹配标准。

      从“可用”列中选择用户身份威胁信息源,然后单击右箭头将其移动到“选择”列。

      最大用户身份威胁源计数为 1024。也就是说,每个策略的源身份源和目标身份源的总和。

      注意:

      仅当您注册了瞻博网络 ATP 云时,信息源才会显示。您还可以使用命令 request services security-intelligence download下载源。

行动

选择当流量符合标准时要采取的操作:

  • 允许 — 允许数据包通过防火墙。

  • 拒绝 - 阻止并丢弃数据包,但不将通知发回源。

  • 拒绝 — 阻止并丢弃数据包,然后向源主机发送通知。
高级服务

单击 +。此时将显示“选择高级服务”页面。

注意:

  • 操作为“拒绝”时:

    • 您只能配置 SSL 代理和重定向配置文件选项。

    • 如果动态应用程序为 None,则只能配置 SSL 代理选项。

    • 逻辑系统和租户不支持高级安全选项。

  • 操作为“允许”时:

    • 对于逻辑系统,仅支持 IPS、IPS 策略、内容安全、威胁防御策略、ICAP 重定向配置文件和 AppQOS 选项。

    • 对于租户系统,仅支持威胁防御策略和 AppQOS。

SSL 代理

从列表中选择要与此规则关联的 SSL 代理策略。

内容安全

从列表中选择要与此规则关联的内容安全策略。列表显示所有可用的内容安全策略。

如果要创建新的内容安全策略,请单击 “添加新”。此时将显示创建内容安全策略页面。有关创建新的内容安全策略的更多信息,请参阅 创建内容安全策略

IPS 策略

从列表中选择 IPS 策略。

威胁防御策略

从列表中选择配置的威胁防御策略。

ICAP 重定向配置文件

从列表中选择配置的 ICAP 重定向配置文件名称。

AAMW

从列表中选择要与安全策略关联的反恶意软件配置文件。

注意:

从 Junos OS 22.2R1 版本开始,您可以将反恶意软件配置文件与安全策略相关联。

SecIntel 配置文件组

从列表中选择要与安全策略关联的 SecIntel 配置文件组。

注意:

从 Junos OS 22.2R1 版本开始,您可以将 SecIntel 配置文件组与安全策略相关联。

IPsec VPN

从列表中选择 IPsec VPN 隧道。

注意:

如果选择目标中的动态应用程序,则不支持 IPsec VPN 选项。

配对策略名称

在相反的方向输入具有相同 IPsec VPN 的策略名称,以创建配对策略。

注意:

如果选择目标中的动态应用程序,则不支持配对策略名称选项。

应用程序 QoS 配置文件

从列表中选择配置的 AppQoS 配置文件。

如果要创建新的 AppQoS 配置文件,请单击 “添加新”。将显示添加 AppQoS 配置文件页面。有关创建新的 AppQoS 配置文件的更多信息,请参阅 添加应用程序 QoS 配置文件

威胁分析

从 Juons OS 21.4R1 版开始,您可以启用此选项以生成威胁分析源。

注意:

仅当您注册了瞻博网络 ATP 云时,信息源才会显示。您还可以使用命令 request services security-intelligence download下载源。

您可以向威胁源添加源地址和目标地址,以及源地址和目标身份。生成源后,您可以配置其他安全策略,以使用这些源匹配指定流量并执行策略操作。

  • 将源 IP 添加到源 — 从列表中选择威胁源,将其添加到源 IP 地址。

  • 将源身份添加到源 — 从列表中选择威胁源,将其添加到源用户身份中。

  • 将目标 IP 添加到源 — 从列表中选择威胁源,将其添加到目标 IP 地址。

  • 将目标身份添加到信息源 — 从列表中选择威胁信息源,将其添加到目标用户身份。

数据包捕获

启用以捕获特定于安全策略规则的未知应用程序流量。

默认情况下,此选项处于禁用状态。启用后,您可以查看数据包捕获 (PCAP) 文件详细信息,或者在 “监控 > 日志 > 会话 ”页面上下载 PCAP 文件。
规则选项

单击 规则选项。此时将显示选择规则选项页面。
测 井

会话启动

启用此选项可在创建会话时记录事件。

会话结束

启用此选项可在会话关闭时记录事件。

计数

启用此选项可收集使用此策略通过防火墙的数据包、字节和会话数的统计信息。

指定统计计数。当流量超过指定的数据包和字节阈值时,将触发告警。

注意:

如果未启用启用计数,则告警阈值字段将被禁用。

认证
注意:

  • 如果选择目标中的动态应用程序,则不支持身份验证选项。

  • 逻辑系统和租户系统不支持此选项。

将身份验证条目推送至 JIMS

启用此选项可将处于身份验证成功状态的防火墙身份验证条目推送至瞻博网络身份管理服务器 (JIMS)。这将使 SRX 系列防火墙能够查询 JIMS,以获取 IP/用户映射和设备信息。

这不是必需选项。在本地 Active Directory 上配置了至少一个域或配置身份管理时,您可以选择它。

类型

从列表中选择防火墙身份验证类型。可用选项包括:无、直通、用户防火墙和 Web 身份验证。

访问配置文件

从列表中选择访问配置文件。

注意:

如果您选择的身份验证类型为 Web 身份验证,则不支持此选项。

客户端名称

输入客户端用户名或客户端用户组名称。

注意:

如果您选择的身份验证类型为用户防火墙,则不支持此选项。

从列表中选择一个必须在客户端名称中的域名。

注意:

仅当身份验证类型选择为用户防火墙时,才支持此选项。

Web 重定向 (http)

启用此选项,向客户端系统发送重定向 HTTP 响应,以重新连接到 Web 服务器进行用户身份验证,从而将 HTTP 请求重定向到设备的内部 Web 服务器。

注意:

如果您选择的身份验证类型为 Web 身份验证,则不支持此选项。

强制门户

启用此选项可将客户端 HTTP 或 HTTPS 请求重定向到设备的内部 HTTPS Web 服务器。配置 SSL 终止配置文件时,将重定向 HTTPS 客户端请求。

注意:

如果您选择的身份验证类型为 Web 身份验证,则不支持此选项。

接口

为 Web 服务器选择一个重定向客户端 HTTP 或 HTTPS 请求的接口。

注意:

策略创建后,您无法编辑此策略。要编辑接口,请转至 “网络 > 连接 > 接口”。

IPv4 地址

输入重定向客户端 HTTP 或 HTTPS 请求的 Web 服务器的 IPv4 地址。

注意:

策略创建后,您无法编辑此策略。要编辑接口,请转至 “网络 > 连接 > 接口”。

SSL 终止配置文件

从包含 SSL 终止连接设置的列表中选择 SSL 终止配置文件。SSL 终止是一个进程,其中 SRX 系列防火墙充当 SSL 代理服务器,从客户端终止 SSL 会话。

要添加新 SSL 终止配置文件:

  1. 单击 Add

    将显示“创建 SSL 终止配置文件”页面。

  2. 输入以下详细信息:

    • 名称 — 输入 SSL 终止配置文件名称;最大 63 个字符。

    • 服务器证书 — 从列表中选择用于验证服务器身份的服务器证书。

      要添加证书,请单击 Add。有关添加设备证书的更多信息,请参阅 添加设备证书

      要导入证书 ,请单击导入。有关导入设备证书的更多信息,请参阅 导入设备证书

仅身份验证浏览器

启用此选项以丢弃非浏览器的 HTTP 流量,以便向使用浏览器请求访问的未经过身份验证的用户显示强制门户。

注意:

如果您选择的身份验证类型为 Web 身份验证,则不支持此选项。

用户代理

输入用于验证用户的浏览器流量是否为 HTTP/HTTPS 流量的用户代理值。

注意:

如果您选择的身份验证类型为 Web 身份验证,则不支持此选项。
高级设置

目标地址转换

从列表中选择要对目标地址转换采取的操作。提供的选项包括:无、丢弃已转换和未转换。

重定向选项

从列表中选择重定向操作。提供的选项包括:无、重定向 Wx 和反向重定向 Wx。

注意:

SRX5000 系列设备不支持此选项。
TCP 会话选项

序列号检查

在策略规则级别的状态检测期间,启用或禁用 TCP 分段中的序列号检查。默认情况下,检查发生在全局级别。为避免提交失败,请关闭“全局选项>> TCP 会话”下的序列号检查

SYN 标志检查

在策略规则级别创建会话之前,启用或禁用 TCP SYN 位检查。默认情况下,检查发生在全局级别。为避免提交失败,请在“全局选项>> TCP 会话”下关闭 SYN 标志检查
附表

附表

单击 “计划 ”,然后从列表中选择其中一个配置的计划。

要添加新时间表,请单击 添加新计划。将显示添加新计划页面。有关创建新计划的更多信息,请参阅 表 4
表 2:“创建地址”页面上的字段

领域

行动

名字

输入地址名称。名称必须是唯一的字符串,必须以字母数字字符开头,并且可能包含冒号、句点、破折号和下划线:不允许有空格;最大 63 个字符。

IP 类型

选择 IPv4IPv6
IPv4

IPv4 地址

输入有效的 IPv4 地址。

输入 IPv4 地址的子网掩码。
IPv6

IPv6 地址

输入有效的 IPv6 地址。

子网前缀

输入 IPv6 地址的子网前缀。
表 3:“创建服务”页面上的字段

领域

行动
全局设置

名字

为应用程序输入唯一名称。

描述

输入应用程序说明。

应用程序协议

从列表中选择应用程序协议选项。

匹配 IP 协议

从列表中选择一个选项以匹配 IP 协议。

源端口

从列表中选择源端口选项。

目标端口

从列表中选择目标端口选项。

ICMP 类型

从列表中选择 ICMP 消息类型的选项。

ICMP 代码

从列表中选择 ICMP 消息代码选项。

RPC 程序编号

输入 RPC 程序编号的值。

值的格式必须为 W 或 X-Y。其中,W、X 和 Y 是 0 到 65535 之间的整数。

不活动超时

从列表中选择特定于应用程序的不活动超时选项。

Uuid

为 DCE RPC 对象输入一个值。

注意:

值的格式必须为 12345678-1234-1234-1234-1234-123456789012。

自定义应用程序组

从列表中选择应用程序集名称。
条款

单击 +。此时将显示“创建术语”页面。

名字

输入术语的名称。

ALG

从 ALG 列表中选择一个选项。

匹配 IP 协议

从列表中选择一个选项以匹配 IP 协议。

源端口

从列表中选择源端口选项。

目标端口

从列表中选择目标端口选项。

ICMP 类型

从列表中选择 ICMP 消息类型的选项。

ICMP 代码

从列表中选择 ICMP 消息代码选项。

RPC 程序编号

输入 RPC 程序编号的值。

注意:

值的格式必须为 W 或 X-Y。其中,W、X 和 Y 是 0 到 65535 之间的整数。

不活动超时

从列表中选择特定于应用程序的不活动超时选项。

Uuid

为 DCE RPC 对象输入一个值。

注意:

值的格式必须为 12345678-1234-1234-1234-1234-123456789012。
表 4:添加新计划页面上的字段

领域

行动

名字

输入计划的名称。

描述

输入计划说明。

重复

从列表中选择一个选项以重复计划:

  • 从来 没有

  • 日常

  • 每周

全天

启用此选项可安排一整天的活动。

此选项仅适用于“永不”和“每日重复类型计划”。

开工日期

以 YYY-MM-DD 格式选择计划开始日期。

此选项仅适用于“永不重复”类型计划。

停止日期

以 YYY-MM-DD 格式选择计划停止日期。

此选项仅适用于“永不重复”类型计划。

开始时间

以 HH:MM:SS 24 小时格式输入时间表的开始时间。

此选项仅适用于“每日重复类型计划”。

停止时间

以 HH:MM:SS 24 小时格式输入时间表的结束时间。

此选项仅适用于“每日重复类型计划”。

重复

选择要重复计划的日期和时间。

要为所选日期设置时间::

  1. 单击“设置时间”或“将时间设置为选定日期”。

    将显示“设置选定日期的时间”页面。

  2. 输入以下详细信息:

    • 名称 — 显示您选择的日期。

    • 全天 — 启用此选项,让活动可全天运行。

    • 开始时间 — 以 HH:MM:SS 24 小时格式输入开始时间。

    • 停止时间 — 以 HH:MM:SS 24 小时格式输入停止时间。

  3. 单击 OK 保存更改。

此选项仅适用于每周重复类型计划。

计划标准

选择以下任一选项:

  • 计划永不停止 — 计划可以永远处于活动状态(循环),但仅限于每日或每周计划指定的。

  • 计划指定窗口 — 计划可以在按开始日期和停止日期指定的单个时隙内处于活动状态。

    输入以下详细信息:

    • 计划开始时间 — 以 YYY-MM-DD 格式输入计划开始日期。

    • 计划结束 — 以 YYY-MM-DD 格式输入计划开始日期。

此选项仅适用于“每日”和“每周”重复类型计划。

相关文档