当前位置:文档之家 › 安全规则包过滤界面

安全规则包过滤界面

  • 格式:ppt
  • 大小:323.00 KB
  • 文档页数:33

下载文档原格式

  / 33

合集下载

网络信息安全技术(第二版)第10章包过滤技术原理及应用

网络信息安全技术(第二版)第10章包过滤技术原理及应用

第10章 包过滤技术原理及应用
10.3.2 “往内”与“往外”
在我们制订包过滤规则时,必须准确理解“往内”与“往外” 的包和“往内”与“往外”的服务这几个词的语义。一个往外的 服务(如上面提到的Telnet)同时包含往外的包(键入信息)和 往内的包(返回的屏幕显示信息)。虽然大多数人习惯于用“服 务”来定义规定,但在制订包过滤规则时,我们一定要具体到每 一种类型的包。我们在使用包过滤时也一定要弄清“往内”与 “往外”的包和“往内”与“往外”的服务这几个词之间的区别。
第10章 包过滤技术原理及应用
包过滤不允许的操作 (1) 允许某个用户从外部网用Telnet登录而不允许其他用 户进行这种操作; (2) 允许用户传送一些文件而不允许用户传送其他文件。
第10章 包过滤技术原理及应用 图 10.1 源地址伪装
第10章 包过滤技术原理及应用
10.2.3 1. 包过滤方式的优点 包过滤方式有许多优点,而其主要优点之一是仅用一个放
第10章 包过滤技术原理及应用
路由器针对每一个接收到的包做出路由决定如何将包送达 目的地。在一般情况下,包本身不包含任何有助确定路由的信 息。包只告诉路由器要将它发往何地,至于如何将它送达,包 本身则不提供任何帮助。路由器之间通过诸如RIP和OSPF的路 由协议相互通信,并在内存中建立路由表。当路由器对包进行 路由时, 它将包的目的地址与路由表中的入口地址相比较,并 依据该表来发送这个包。在一般情况下,一个目的地的路由不 可能是固定的。同时,路由器还经常使用“默认路由”, 即把
第10章 包过滤技术原理及应用
10.3.3 “默认允许”与“默认拒绝” 网络的安全策略中有两种方法:默认拒绝(没有明确地被
允许就应被拒绝)与默认允许(没有明确地被拒绝就应被允 许)。从安全角度来看, 用默认拒绝应该更合适。 就如我们前 面讨论的,我们首先应从拒绝任何传输来开始设置包过滤规则, 然后再对某些应被允许传输的协议设置允许标志。这样做我们 会感到系统的安全性更好一些。

包过滤技术的过滤规则

包过滤技术的过滤规则

包过滤技术的过滤规则包过滤技术是一种网络安全技术,用于控制和管理网络数据包的传输。

它通过设置过滤规则来决定哪些数据包允许通过,哪些数据包需要被拦截或丢弃。

这些过滤规则基于不同的参数,如源IP地址、目标IP地址、端口号、协议类型等,以确保网络的安全性和可靠性。

以下是一些常见的包过滤技术的过滤规则:1.根据源IP地址过滤:可以设置规则,只允许特定的源IP地址发送或接收数据包。

这可以帮助防止来自未知或不受信任源的攻击。

2.根据目标IP地址过滤:可以设置规则,只允许特定的目标IP 地址接收数据包。

这可以用于限制对特定主机或网络资源的访问。

3.根据端口号过滤:可以设置规则,只允许特定的端口号发送或接收数据包。

这可以帮助控制特定服务或应用程序的访问。

4.根据协议类型过滤:可以设置规则,只允许特定的协议类型的数据包通过。

例如,可以设置规则只允许通过HTTP或FTP协议的数据包。

5.根据数据包内容过滤:可以设置规则,检查数据包的内容并根据特定的关键字或模式进行过滤。

这可以用于检测和阻止特定的恶意软件或攻击。

6.根据时间规则过滤:可以设置规则,限制特定时间段内的数据包传输。

例如,可以设置规则,限制工作日内的数据传输,以提高安全性。

7.基于用户标识过滤:可以设置规则,只允许特定用户或用户组发送或接收数据包。

这可以用于对特定用户的网络访问进行授权管理。

8.基于流量限制过滤:可以设置规则,限制特定源或目标的流量量或速率。

这可以帮助避免网络拥塞或滥用。

9.基于防火墙策略过滤:可以设置规则,根据特定的防火墙策略来过滤数据包。

例如,可以设置规则,拒绝所有入站连接,只允许已建立的连接通过。

以上这些过滤规则只是包过滤技术中的一部分,实际应用中还可以根据特定的需求或网络环境设置更复杂的过滤规则。

通过合理设置过滤规则,可以有效地管理网络流量、保护网络安全,并提高网络性能和可靠性。

包过滤防火墙的包过滤规则

包过滤防火墙的包过滤规则

包过滤防火墙的包过滤规则包过滤防火墙(Packet Filter Firewall)是一种网络安全设备,用于监控和控制进出网络的数据包流量,以保护网络免受未经授权的访问和攻击。

包过滤防火墙通过定义包过滤规则来决定哪些数据包可以通过,哪些需要被阻止。

包过滤规则是指对数据包进行检查和过滤的规则集合。

它基于一系列的条件和动作来判断数据包是否被允许通过防火墙。

下面将介绍几种常见的包过滤规则。

1. 源IP地址和目标IP地址:包过滤规则可以根据源IP地址和目标IP地址来判断数据包的来源和目的地。

通过指定源IP地址和目标IP地址,可以限制特定的通信流量。

2. 源端口和目标端口:包过滤规则可以根据源端口和目标端口来限制特定的应用程序或服务的访问。

通过指定源端口和目标端口,可以阻止或允许特定的网络通信。

3. 协议类型:包过滤规则可以根据协议类型来限制特定的网络协议的传输。

常见的协议类型包括TCP、UDP和ICMP等。

通过指定协议类型,可以控制不同协议的数据包流量。

4. 数据包的状态:包过滤规则可以根据数据包的状态来控制数据包的传输。

常见的数据包状态包括新建连接、已建立连接和已关闭连接等。

通过指定数据包的状态,可以限制特定状态的数据包通过防火墙。

5. 阻止或允许动作:包过滤规则可以根据条件来决定是阻止还是允许数据包通过防火墙。

当数据包符合规则条件时,可以选择阻止或允许数据包通过防火墙。

通过合理设置包过滤规则,可以提高网络的安全性。

以下是一些常见的包过滤规则示例:1. 允许内部网络的所有数据包出站,禁止外部网络的所有数据包入站。

2. 允许内部网络的Web服务器接收外部网络的HTTP请求,禁止其他端口的访问。

3. 允许内部网络的SMTP服务器发送邮件,禁止外部网络的SMTP 请求。

4. 允许内部网络的DNS服务器接收外部网络的DNS查询,禁止其他端口的访问。

5. 允许内部网络的FTP服务器接收外部网络的FTP请求,禁止其他端口的访问。

应用防火墙如何区分包过滤和状态监测

应用防火墙如何区分包过滤和状态监测

应用防火墙如何区分包过滤和状态监测一些小公司为了推销自己的应用防火墙产品,往往宣称采用的是状态监测技术; 从表面上看,我们往往容易被迷惑。

这里给出区分这两种技术的小技巧。

1. 是否提供实时连接状态查看?状态监测应用防火墙可以提供查看当前连接状态的功能和界面,并且可以实时断掉当前连接,这个连接应该具有丰富的信息,包括连接双方的IP、端口、连接状态、连接时间等等,而简单包过滤却不具备这项功能。

而简单包过滤却不具备这项功能。

而简单包过滤却不具备这项功能。

2. 是否具备动态规则库?某些应用协议不仅仅使用一个连接和一个端口,往往通过一系列相关联的连接完成一个应用层的操作。

比如FTP协议,用户命令是通过对21端口的连接传输,而数据则通过另一个临时建立的连接(缺省的源端口是20,在PASSIVE模式下则是临时分配的端口)传输。

对于这样的应用,包过滤防火墙很难简单设定一条安全规则,往往不得不开放所有源端口为20的访问。

状态监测应用防火墙则可以支持动态规则,通过跟踪应用层会话的过程自动允许合法的连接进入,禁止其他不符合会话状态的连接请求。

对于FTP来说,只需防火墙中设定一条对21端口的访问规则,就可以保证FTP传输的正常,包括PASSIVE方式的数据传输。

这一功能不仅使规则更加简单,同时消除了必须开放所有20端口的危险。

如何将 ISA Server 安装为应用防火墙要将ISA Server 安装为应用防火墙,请按照下列步骤操作:1. 单击开始,单击运行,在打开文本框中键入cmd,然后单击确定。

2. 在命令提示符处,键入Path\ISA\i386\Msisaent.exe(其中Path 是指向ISA Server 安装文件的路径)。

请注意,该路径可能是ISA Server 光盘的根文件夹,也可能是网络上包含ISA Server 文件的共享文件夹。

3. 单击Microsoft ISA Server 安装对话框中的继续。

包过滤技术的过滤规则

包过滤技术的过滤规则

包过滤技术的过滤规则近年来,随着互联网的快速发展,网络安全问题也日益突出。

为了保护用户的隐私和安全,包过滤技术被广泛应用于网络环境中。

本文将详细介绍包过滤技术的过滤规则,并探讨其在网络安全中的作用。

一、过滤规则的概念和作用包过滤技术是指在网络通信过程中,根据预设的过滤规则对数据包进行筛选和过滤,只允许符合规则的数据包通过。

过滤规则是决定数据包是否被允许通过的标准,其概念类似于人们在日常生活中制定的规则和准则。

通过合理设置过滤规则,可以有效地防止恶意攻击、拒绝服务攻击和网络嗅探等安全威胁。

二、过滤规则的设置原则1.禁止网络地址的插入在过滤规则中,应禁止插入任何网络地址,特别是http地址,以防止用户通过这些地址访问不安全的网站或下载不安全的文件。

禁止插入网络地址可以有效预防恶意软件的传播和隐私泄露。

2.禁止数学公式和计算公式的使用为了确保过滤规则的易读性和实用性,文章中不得包含数学公式和计算公式。

这样可以避免给读者带来困扰,并减少规则设置的复杂性。

3.确保内容的独一性为了防止规则设置的重复和冲突,文章中应确保内容的独一性。

每个规则应该有明确的目标和作用,避免出现相似的规则或重复的内容。

4.合理的结构和明晰的段落为了增强阅读流畅性,文章的结构应合理,段落应明晰。

可以使用适当的标题来划分段落,使读者更容易理解和消化文章的内容。

5.禁止使用图片链接为了遵守过滤规则,文章中不得使用任何形式的图片链接。

这样可以避免插入不安全的图片或引导读者访问不安全的网站。

6.避免依赖图像的语句在文章中,应避免使用依赖图像的语句,如“如图所示”等字眼。

这样可以确保读者能够理解文章的内容,而不依赖于任何外部图像。

7.避免重复提出同一个问题为了防止文章的重复和冗余,不应在文章中反复提出同一个问题。

应尽量提供全面、准确和独特的观点,以增强文章的质量和可读性。

8.适度的自我介绍在文章中,不必过多地进行自我介绍。

可以简要介绍自己的背景和经验,但不应占据文章的重要篇幅。

sonicwall简介

sonicwall简介

1.网络安全概述1.1网络安全简述随着政府上网、海关上网、企业上网、电子商务、网上娱乐等一系列网络应用的蓬勃发展,Internet正在越来越多地离开原来单纯的学术环境,融入到社会的各个方面。

一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。

换言之,Internet网的安全,包括网上的信息数据安全和网络设备服务的运行安全,日益成为与国家、政府、企业、个人的利益休戚相关的"大事情"。

然而,由于在早期网络协议设计上对安全问题的忽视,以及在使用和管理的无政府状态,逐渐使Internet自身的安全受到严重威胁,与它有关的安全事故屡有发生。

这就要求我们对与Internet互连所带来的安全性问题予以足够重视。

网络面临的安全威胁大体可分为两种:一是对网络数据的威胁;二是对网络设备的威胁。

这些威胁可能来源于各种各样的因素:可能是有意的,也可能是无意的;可能是来源于企业外部的,也可能是内部人员造成的;可能是人为的,也可能是自然力造成的。

总结起来,大致有下面几种主要威胁:(1) 非人为、自然力造成的数据丢失、设备失效、线路阻断(2) 人为但属于操作人员无意的失误造成的数据丢失(3) 来自外部和内部人员的恶意攻击和入侵前面两种的预防与传统电信网络基本相同(略)。

最后一种是当前Internet网络所面临的最大威胁,是电子商务、政府上网工程等顺利发展的最大障碍,也是企业网络安全策略最需要解决的问题。

1.2防火墙防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。

防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。

通过制订安全策略,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。

防火墙是一个分离器,一个限制器,一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。

配置包过滤防火墙规则

配置包过滤防火墙规则
为了保护企业网络的安全,防火墙规则是必不可少的。

在配置防火墙规则时,我们需要遵循一些基本原则,比如安全性、可用性和可管理性。

安全性是配置防火墙规则最重要的原则。

我们需要确保防火墙能够保护我们的网络免受各种攻击。

例如,网络钓鱼、恶意软件和其他网络安全威胁。

因此,我们需要配置一些规则,以防止这些攻击。

比如,我们可以配置防火墙以阻止带有恶意代码的网站、禁止外部访问、过滤垃圾邮件等。

可用性也是非常重要的。

我们需要确保防火墙规则是灵活的和可管理的,以便我们能够及时应对网络威胁。

例如,我们可以配置防火墙以阻止外部访问,但在需要时允许访问。

我们也可以配置一些规则以限制文件传输,以防止大文件下载和数据泄露。

可管理性也是非常重要的。

我们需要确保防火墙规则是简单易用的,以便我们能够快速和准确地配置和管理它们。

例如,我们可以使用可
视化工具来创建、编辑和删除防火墙规则。

我们也可以使用防火墙管理界面来查看网络的状态和配置防火墙规则。

在配置防火墙规则时,我们还需要注意避免使用一些不良信息和敏感词。

这些信息可能会被防火墙截获,并对我们造成不必要的麻烦。

因此,我们需要确保防火墙规则文本是规范的和安全的。

总结起来,配置防火墙规则需要遵循安全性、可用性和可管理性原则。

我们需要确保防火墙规则文本是规范的和安全的,以保护我们的网络免受各种攻击。

packet-filter acl规则

标题:深入了解Packet-Filter ACL规则在网络安全领域,Packet-Filter ACL(包过滤访问控制列表)规则是一种常见的安全策略控制技术,可用于网络设备或防火墙上,以过滤和控制数据包的流向和访问权限。

本文将深入探讨Packet-Filter ACL 规则的基本概念、设计原则和实际应用,帮助读者全面了解与理解这一重要的网络安全技术。

一、Packet-Filter ACL规则的基本概念Packet-Filter ACL规则是基于网络设备上的访问控制列表(ACL)功能实现的一种基本的网络数据包过滤技术。

它通过定义规则集来决定哪些数据包可以通过网络设备,从而实现对流量的精细控制和管理。

Packet-Filter ACL规则通常包括了源IP位置区域、目标IP位置区域、源端口、目标端口、传输协议等多个条件,并结合访问控制策略来决定是否允许或拒绝数据包的转发。

二、Packet-Filter ACL规则的设计原则1. 精简化规则集:Packet-Filter ACL规则应当尽量精简,避免冗余和不必要的规则,以提高性能和管理效率。

2. 有序性和先后匹配:规则的顺序和匹配逻辑非常重要,需要确保规则的先后顺序合理,并能够正确匹配并处理数据包。

3. 易于管理和维护:规则应当设计得易于管理和维护,包括注释和文档说明,方便管理员理解和修改规则。

4. 安全性和灵活性:规则集需要兼顾安全性和灵活性,既要能有效防范网络攻击,又要能满足实际业务需求和变化。

5. 性能和可扩展性:规则的设计需要考虑性能和可扩展性,避免影响网络设备的转发性能和容量。

三、Packet-Filter ACL规则的实际应用Packet-Filter ACL规则在实际网络安全中具有广泛的应用场景,比较常见的包括:1. 防火墙策略:作为防火墙的基本功能之一,Packet-Filter ACL规则被用于定义防火墙的访问控制策略,保护内部网络免受来自外部网络的攻击和非法访问。

ip包过滤规则

ip包过滤规则IP包过滤规则是网络安全中非常重要的一项措施,通过让特定的IP包通过而拦截其他不符合规则的IP包,来保障网络的安全性和正常运行。

下面介绍一些IP 包过滤规则的常见需求和实施方法。

1. 允许特定IP地址的通信:在网络中,我们可能需要允许某些特定IP地址间进行通信,可以通过设置IP 包过滤规则实现。

例如,可以通过配置规则,仅允许内部网络的IP地址与外部特定服务器进行通信,提高网络的安全性。

2. 阻止指定IP地址的访问:有时候我们需要阻止某些特定IP地址的访问,可以通过设置IP包过滤规则来实现。

例如,可以配置规则以禁止某些恶意IP地址的访问,以保护网络免受恶意攻击。

3. 封锁某一范围的IP地址:此外,有时候我们可能需要阻止某一范围的IP地址的访问。

例如,针对某个地理区域的恶意攻击,可以通过设置过滤规则阻止该地区IP地址的访问,从而有效控制风险。

实施IP包过滤规则有多种方法,其中常见的有以下几种:1. 使用网络防火墙:大多数网络环境下都会使用网络防火墙来实施IP包过滤规则。

防火墙可以根据配置的规则,对进出的IP包进行过滤和控制。

通过配置防火墙规则表,可以很灵活地设置特定IP地址的访问权限。

2. 使用路由器配置:一些路由器也具有IP包过滤功能,可以通过配置路由器的ACL(Access Control List)来实现。

ACL允许或阻止基于源IP地址、目标IP地址和服务类型等条件的访问。

通过在路由器上设置规则,可以进行精细的IP包过滤控制。

3. 在操作系统级别配置:一些操作系统也提供了IP包过滤的功能,如Linux中的iptables、Windows 中的Windows Firewall。

通过在操作系统级别配置规则,可以对特定IP地址进行过滤,实现有效的网络安全控制。

总而言之,IP包过滤规则是网络安全中非常重要的一项措施,通过它可以实现对特定IP地址的控制和访问权限管理。

在实施IP包过滤规则时,可以根据实际需求选择适合的方法和工具,以提高网络的安全性和稳定性。

安全过滤器模式使用方法详解

安全过滤器模式使用方法详解安全是现代社会最为重要的话题之一,而在互联网时代,随着信息技术的迅速发展,网络的安全问题也越来越受到人们的关注。

为了保障网络的安全,我们需要采取各种措施来防范网络攻击和恶意行为。

其中一个重要的措施就是使用安全过滤器模式。

本文将详细介绍安全过滤器模式的使用方法及其原理。

一、什么是安全过滤器模式安全过滤器模式是一种常用的安全设计模式,其主要作用是为系统提供一定程度的安全保护,保障系统的安全性。

安全过滤器模式通常采用过滤器的方式来过滤系统中的输入和输出数据,以确保只有符合规则的数据才能够被系统接受或者输出。

通过采用安全过滤器模式,可以有效地防止各种网络攻击和恶意行为,提高系统的安全性。

二、安全过滤器模式的原理安全过滤器模式的核心原理就是过滤器。

过滤器是一种用于过滤数据的程序,其主要功能是对输入和输出数据进行过滤和验证,以确保数据的合法性和完整性。

在安全过滤器模式中,过滤器通常被组织成一个过滤器链,每个过滤器都负责一种特定类型的过滤任务,当请求数据经过所有的过滤器后,只有满足所有过滤规则的数据才能够被进一步处理。

三、安全过滤器模式的使用方法1. 策略模式安全过滤器模式通常采用策略模式来实现。

在使用策略模式时,我们需要首先定义一组策略接口,定义了各种过滤策略的具体实现方式。

然后,我们需要实现一个具体的过滤器类,该类负责组织策略接口,并根据策略接口的实现情况来进行数据过滤和验证。

例如,我们可以定义一个安全过滤器类,该类包含一个策略接口和一个策略列表,我们可以将不同的过滤策略作为不同的策略实现,然后将这些策略添加到策略列表中。

在数据处理时,我们可以通过调用策略接口来执行策略列表中的所有过滤器,并根据过滤器的返回结果来确定是否接受或者输出数据。

2. 实例化除了策略模式外,我们也可以使用实例化的方式来实现安全过滤器模式。

在实例化模式中,我们需要定义一个过滤器类,该类包含了所有需要实现的过滤方法。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

下面将对包过滤规则的协议类型编辑功能 和ICMP 协议的细粒度过滤进行介绍。
• 应用协议: 在“添加包 过滤规则界 面”中单击 “应用协议 ”超链接进 入“应用协 议表” 议表”界面 ,如下图所 示。
• 应用协议名 应用协议的名称,字母和数字组成,以字母开 始,如ftp。 始,如ftp。 • 协议类型 承载该应用协议的TCP/IP 承载该应用协议的TCP/IP 协议类型,从下拉 框里选择,如TCP。 框里选择,如TCP。 • 端口号 该协议的端口号。 • 添加 将在文本编辑框内输入的有效协议名和协议类 型、端口号,加入到列表中。 • 删除 将单选框选中的应用协议从列表中删除。
• 禁用规则检查 • 安全卫士缺省启用规则检查,系统自动 对安全卫士管理员定义的安全规则进行 检测,对矛盾或重复的安全规则给出调 整提示。选中表示禁用安全卫士对过滤 规则的一致性检查。
• 允许非TCP/IP 协议 允许非TCP/IP • 安全卫士允许IPX/NetBIOS 安全卫士允许IPX/NetBIOS 等非 TCP/IP 协议包通过。 • 注意:如果网络使用的是TCP/IP 协议来 注意:如果网络使用的是TCP/IP 支持NetBIOS 支持NetBIOS 协议,只需要制定相应的 安全规则 (放开137、138 的UDP 端口 (放开137、 和139 的TCP 端口)就能保证网络邻居 的正常使用。
• 源地址 网络访问发起的源IP 网络访问发起的源IP 地址或网段或地址 组。用户有两种方式输入源地址,选择“IP地 组。用户有两种方式输入源地址,选择“IP地 址”,则可在后面的输入框中输入IP 地址, ,则可在后面的输入框中输入IP 并选择相应的掩码,不填内容则为任意。 选择“地址组” 选择“地址组”,如果你已经在地址分组 页面定义了地址组,则可在后面的下拉框中选 择已经定义好的地址组,如果地址组单选钮被 置灰,您需要在“地址分组” 置灰,您需要在“地址分组”页面定义地址组 ,方能使用该选项。
• 优先级 具有较高优先级的流量首先通过;在物理设备 带宽分配完毕的情况下,低优先级的流量仅当 无更高优先级的流量时,才能通过。共有八个 优先级,其中1为最高优先级,8 优先级,其中1为最高优先级,8为最低优先级 。 • 保证带宽 该规则对应的连接所能够获得的最低带宽。连 接的实际带宽可能超过此带宽,单位为千比特 每秒 (kbps)。 (kbps)。 • 最大带宽 该规则对应的连接所能够获得的最大带宽。超 过该值的流量将被延迟或丢弃。带宽的单位为 千比特每秒 (kbps)。 (kbps)。 • 注意:最大带宽填写数字值,不超过物理设备 的实际最大带宽。
• 网络接口 与源地址相对应的网络接口。不选择(即为空)将表 示不作限制。 • 服务类型 包括HTTP、FTP、TELNET、 包括HTTP、FTP、TELNET、SOCKS 以及用户自定义的服 务。 • 用户认证 选择是否使用用户认证。 • 规则策略 允许或禁止该数据包通过安全卫士。 • 高级设置 针对FTP 代理禁止GET 命令或禁止PUT 针对FTP 代理禁止GET 命令或禁止PUT 命令;针对 SOCKS 代理的宿端口设置。 • 确定 制定透明代理规则完毕,返回上一界面。
安全规则界面
管理员登录安全卫士配置管理界面后,进入“ 管理员登录安全卫士配置管理界面后,进入“安全策 略→安全规则”界面,如下图 安全规则”
• 序号 对管理员增加的全部规则按序排列。 • 访问控制 安全卫士规则的访问控制类型,分为包过滤和 透明代理两种。 • 源地址 网络访问的发起的源IP 网络访问的发起的源IP 地址或网段。 • 宿地址 被访问的IP 被访问的IP 地址或网段。
• 注意:H.323 协议是为了实现在网上实 注意:H.323 现多媒体业务(如实时的语音、视频和 数据)而制定的通讯协议,实际应用如 微软的Netmeeting 微软的Netmeeting 视频会议系统等。 H.323 协议采用的是动态分配端口的技 术,因此如果安全卫士需要支持这种协 议的包过滤,在此处选择H.323协议。选 议的包过滤,在此处选择H.323协议。选 择H.323协议后,“宿端口”不用填写。 H.323协议后,“宿端口”
包过滤对ICMP 协议的细粒度过滤
• 安全卫士的包过滤服务可针对ICMP 安全卫士的包过滤服务可针对ICMP 报文的类型(type)和代码(code)进 报文的类型(type)和代码(code)进 行详细过滤。 当类型(type)选择ANY 当类型(type)选择ANY 时,表示对 ICMP 所有类型进行包过滤。见下图:
通用协议
• 在“添加 包过滤规 则界面” 则界面” 中单击“ 中单击“ 通用协议 ”超链接 进入“ 进入“通 用协议表 ”界面, 如下图所 示。
• 协议名 协议名称,字母和数字组成,以字母开 始。 • 协议号 协议编号,范围0 255。用户可以从附 协议编号,范围0~255。用户可以从附 录中查找要增加的协议名和协议号。 • 添加 将在文本编辑框内输入的有效协议名和 协议号,加入到列表中。 • 删除 将单选框选中的协议、协议号从列表中 删除。
添加透明代理规则
• 源地址 网络访问发起的源IP 网络访问发起的源IP 地址或网段或地址组。 用户有两种方式输入源地址,选择“IP地址” 用户有两种方式输入源地址,选择“IP地址” ,则可在后面的输入框中输入IP ,则可在后面的输入框中输入IP 地址,并选 择相应的掩码,不填内容则为任意。选择“ 择相应的掩码,不填内容则为任意。选择“地 址组” 址组”,如果你已经在地址分组页面定义了地 址组,则可在后面的下拉框中选择已经定义好 的地址组,如果地址组单选钮被置灰,您需要 在“地址分组”页面定义地址组,方能使用该 地址分组” 选项。
• 宿地址 被访问的IP 被访问的IP 地址或网段或地址组。用户 有两种方式输入宿地址,选择“ 有两种方式输入宿地址,选择“IP 地址 ”,则可在后面的输入框中输入IP 地址 ,则可在后面的输入框中输入IP ,并选择相应的掩码,不填内容则为任 意。选择“地址组” 意。选择“地址组”,如果你已经在地 址分组页面定义了地址组,则可在后面 的下拉框中选择已经定义好的地址组, 如果地址组单选钮被置灰,您需要在“ 如果地址组单选钮被置灰,您需要在“ 地址分组” 地址分组”页面定义地址组,方能使用 该选项。

• 当代码(code)选择ANY 时,表示对此 当代码(code)选择ANY 类型下所有code 类型下所有code 的ICMP 报文进行包过 滤。 • 当类型和代码选择下拉框中的某一值, 表示对此种code 表示对此种code 的ICMP 报文进行包过 滤。见下图:
• ICMP 包过滤规则如果是类型为8(echo包过滤规则如果是类型为8(echorequest) 、13(timestamp-request) 、 13(timestamp17(address-mask-request),可不需要 17(address-mask-request),可不需要 下相应的应答规则,安全卫士可动态的 允许应答报文通过安全卫士。
• 宿地址 被访问的IP 被访问的IP 地址或网段或地址组。 用户有两种方式输入宿地址,选择“ 用户有两种方式输入宿地址,选择“IP 地址”,则可在后面的输入框中输入IP 地址”,则可在后面的输入框中输入IP 地址,并选择相应的掩码,不填内容则 为任意。选择“地址组” 为任意。选择“地址组”,如果你已经 在地址分组页面定义了地址组,则可在 后面的下拉框中选择已经定义好的地址 组,如果地址组单选钮被置灰,您需要 在“地址分组”页面定义地址组,方能 地址分组” 使用该选项。
• 协议 指TCP、UDP、OSPF、EGP、IGMP、GGP 等 TCP、UDP、OSPF、EGP、IGMP、 TCP/IP 协议。 • 服务 指明网络服务的端口,可以是一个端口数字或 范围。如果是端口范围,必须用英文冒号来分 隔起始端口和终止端口。
• 策略 指对匹配该规则的数据包要采取的策略,包括 允许、NAT 允许、NAT 或禁止 • 允许:表示允许数据包通过,且不做网络地址 转换。 • NAT:表示允许数据包通过,且做网络地址转 NAT:表示允许数据包通过,且做网络地址转 换。 • 后,安全卫士将记录包过滤日志。 • 支持802.1Q 协议的NAT 支持802.1Q 协议的NAT 支持802.1Q 协议的VLAN 支持802.1Q 协议的VLAN 伪装模式。
添加包过滤规则
• 此处可以选择增加的规则类型,包括包过滤 和透明代理,选择包过滤,点确定按钮进入 包过滤规则配置界面。
• 控制策略 指对匹配该规则的数据包要采取的策略,包括 允许和禁止。 • 注意: 允许:表示允许数据包通过,且不做网络地址 转换。 禁止:表示禁止数据包通过。 若要采用NAT 若要采用NAT 策略则必须采取允许策略,同时 启用源地址映射。 禁止策略下,启用源地址映射无效。
• 启用用户认证 选中后,本规则仅对通过认证的用户有 效;否则,对所有用户都有效。 • 时间控制 用户可以在下拉框中选择定义好的时间 段,选中后,则该条包过滤规则只有在 该时间段中才生效。点击“时间定义” 该时间段中才生效。点击“时间定义” ,可以链接到时间定义页面,自定义所 需的时间段。 • 启用流量控制 选中为启用流量控制,需要选择优先级 ,并指定保证带宽和最大带宽值。
• 用户认证 在启用包过滤或代理时需要进行用户身 份认证。“认证” 份认证。“认证”表示对规则中指明的 客户机进行用户认证。空表示不做用户 认证。 • 时间控制 指明该条规则生效的时间范围。 • 流量控制 指明是否对该条规则启用流量控制。
• 添加 增加一条安全规则。选中某一条规则后点“ 增加一条安全规则。选中某一条规则后点“添加 ”按钮,会在此规则前增加一条新规则。不选 任何规则,则会在全部规则的最后加入一条新 规则。 • 编辑 • 删除 • 规则生效 • 清空当前全部安全规则。
• 网络接口 与源地址相连接的网络接口。不选 择(即为空),表示不作限制。 • 宿端口 被访问的服务端口,可以是一个端 口范围(如1:1023 表示1 口范围(如1:1023 表示1 到1023 之间 所有的端口)。不填内容则为任意。