策略的基本功能a.告诉防火墙流量应该怎样被保护,怎样被转发Zone的流量a.InterZone区段之间的Must必须通过Policy检查b.IntraZone区段内可能通过Policy检查Policy
.
策略的基本功能
a.告诉防火墙流量应该怎样被保护,怎样被转发
Zone的流量
a.InterZone区段之间的Must必须通过Policy检查
b.IntraZone区段内可能通过Policy检查
Policy的组成部分
1.Source和Desitination
Adress OR Adress Group
2.Service服务
a.系统预定义的服务类型(Telnet,SSH,Telnet)
b.定制服务
c.定制服务组
3.Aciton动作
a.Permit
b.Deny
c.Tunnel
d.Reject(丢弃数据包,向源通告目的主机不可达的信息)
Policy的配置步骤
a.定义一个地址条目
b.定制一个服务条目
查看预定义的服务
ns5gt-> get service pre-defined
手工定制服务
ns5gt-> set service voice protocol udp src-port 1-65535 dst-port 186-20000
c.建立Policy条目
ns5gt-> set policy top from untrust to kang any any any permit
d.调节Policy的顺序
ns5gt-> set policy global move 1 before 2
建立一个地址组
ns5gt-> set group address kang test add 10.1.1.1
建立一个服务条目
ns5gt-> set group service test add HTTP
.
e.配置多信元策略
a. 进入策略的配置模式
ns5gt-> set policy id 3
b.添加源地址或者添加服务 ns5gt(policy:3)-> set service telnet
ns5gt(policy:3)-> set service snmp
c.查看多信元策略
ns5gt-> get policy
一般Policy的问题
a.Policy的顺序
b.主机的IP的话,子网掩码必须为32位
c.组成员是否匹配
Global Policy全局策略
a.默认全局策略的Action=Deny
默认隐含拒绝一切
b.修改一个全局策略的Action为Permit
ns5gt-> set policy global any any any permit
IntraZone的策略
a.IntraZone默认是放行的
ns5gt-> set zone kang block
在一个Zone下的主机之间是无法互访的
.
