山石网科防火墙策略设置

单条策略的配置项分为：ID、名称、源安全域、源地址、源用户、目的安全域、目的地址、服务、应用、动作。

名词解释：

ID：安全策略序号，根据创建时间系统自动生成。

名称：安全策略名称，创建策略时自定义描述。

源安全域：此安全策略所控制的流量的数据源所在的区域，防火墙的每一个接口都属于一个安全域。

源地址：此安全策略所控制的流量的数据源的IP地址。

源用户：此安全策略所控制的流量的数据源归属的用户（一般不做设置）。

目的安全域：此安全策略所控制的流量的数据的目的所在的区域。

目的地址：此安全策略所控制的流量的数据的目的IP地址。

服务：此安全策略所控制的流量的网络协议、服务、端口号。

应用：此安全策略所控制的流量的应用类型。

动作：针对此安全策略所控制的流量进行的安全动作。

· 安全策略中源安全域、源地址、源用户、目的安全域、目的地址、服务、应用这些属性，用于精确定义数据流的属性，抓取此数据流。

· 安全策略中动作，用于此安全策略的执行效果，把上述所抓取到的数据流，进行放行或者阻断。

· 当多条安全策略存在于防火墙上时候，防火墙从上往下依次执行安全策略，当某一数据流已完成匹配到其中一条安全策略以后，不再继续匹配之后的安全策略。

· 防火墙默认安全策略为阻断任意经过防火墙的数据流量。

示例一：

如下图，源安全域：turst，源地址：any，目的安全域：untrust ，目的地址：any，服务:any，动作：允许。

此安全策略的配置内容：放行经过防火墙的源区域为trust、目的区域为untrust的数据流（防火墙设置内网接口为trust区域，外网接口为untrust区域）。

此安全策略的实际效果：让内网的所有流量允许通过防火墙访问外网，因为防火墙默认阻断所有流量。

示例二：

如下图，源安全域：any，源地址：MES(地址对象10.114.144.0/20)，目的安全域：any ，目的地址：any，服务:any，动作：阻断。

此安全策略的配置内容：阻断经过防火墙的源地址为10.114.144.0/20的数据流。

此安全策略的实际效果：禁止MES信号网段连接互联网。

示例三：

如下图，源安全域：any，源地址：any，目的安全域：untrust，目的地址：any，服务:445,135-139，动作：阻断。

此安全策略的配置内容：阻断经过防火墙的端口为445、138-139的所有数据流。

此安全策略的实际效果：禁止连接外部网络的445、138-139端口（445、138-139端口为勒索病毒常用的攻击端口）。

1、首先需要了解，是需要对哪一部分流量做安全策略，将目标对象流量以源地址、目标地址、数据端口的形式，定义此流量。然后将源地址、目标地址、目标端口定义为地址对象、服务对象，配置到防火墙上。

将源地址、目标地址作为对象，配置到对象>地址簿中，将目标端口作为对象，配置到对象>服务簿中，如地址、服务为任意，则无需配置，any为默认选项。

2、在策略>安全策略>策略中选择正确的选项，增加安全策略条目，在不熟悉的情况下，不建议直接将策略动作设置为拒绝。

3、安全策略新建成功后，位于策略条目的最下方，为最后执行项。需要将新建的安全策略移动至正确的位置。

示例一、防火墙上放行黑湖升级IP地址139.224.26.161 。

1、此安全策略所控制的流量为目标IP为139.224.26.161的所有流量。首先以源地址、目标地址、数据端口的形式，定义此流量。

此流量为源安全域：any，源地址：any，目的安全域：any/untrust，目的地址：139.224.26.161，服务:any

安全策略动作：放行。

2、将目标地址添加为对象，将此IP地址在地址簿中添加此IP地址

3、添加此安全策略

4、新建的安全策略位于策略最下方，此安全策略的作为，是在禁止mes信号上网的前提下，单独放行黑湖升级IP地址，所以需要将此策略移动到禁止mes信号上网的策略之前，就是移动到ID为2的策略之前。

4、完成后的策略条目。