(一)行為管理策略原理是什么?
(1) 為了對數據流進行統一控制,方便用戶配置和管理,設備引入了行為管理策略的概念。通過配置行為管理策略,網關能夠對經過設備的數據流進行有效的控制和管理。
(2) 當網關收到數據報文時,把該報文的方向、源地址、目的地址、協議、端口等信息和用戶配置的策略匹配,決定是否建立這條數據流,并且把這條流和匹配的策略關聯起來,從而確定如何處理該流的后續報文,實現允許、丟棄。對于允許的數據流還可以選擇是否進行應用層業務的相關處理。
(3) 應用層業務處理支持IPS、病毒防護、URL過濾、關鍵字過濾等特性,可以根據防護規則對數據流進行阻斷或告警。沒有匹配I規則的數據流將放行
(4) 在沒有配置任何行為管理策略的情況下,系統默認有一條全any放行的策略,對于經過設備的所有數據流,其缺省策略為直接放行。
(5) 行為管理策略按從上到下順序匹配的原則,只對通過設備的數據流進行處理,對于到設備本身的數據流和設備本身發出的數據流不進行限制。
行為管理配置要點有哪些行為管理策略由三個部分組成:匹配條件(即報文的過濾條件,如源/目的區域、源/目的IP地址、服務、應用等)、處理動作(允許、拒絕)以及內容安全檢查(如IPS、AV)。行為管理配置要點有哪些
- 匹配條件用于匹配報文的屬性信息,即明確需要對哪些報文進行檢測和處理;多個匹配條件之間是與的關系,即同時滿足多個過濾條件則成功匹配行為管理策略;當存在多個行為管理策略時,將按配置順序逐條向下匹配,直到匹配成功;
- 匹配成功的報文將會按照處理動作進行轉發(允許)或丟棄并記錄安全日志(拒絕);
- 若行為管理策略中啟用了內容安全檢查相關功能,那么行為管理策略會將報文轉發給入侵防護、病毒防護、URL過濾等模塊進行內容安全檢查。 匹配URL過濾、關鍵字過濾、入侵防御或防病毒策略的報文將會按照對應的處理動作進行轉發并記錄安全日志(告警)或丟棄(阻斷);未匹配的報文則直接放行。
(二)行為管理配置要點有哪些?
行為管理策略由三個部分組成:匹配條件(即報文的過濾條件,如源/目的區域、源/目的IP地址、服務、應用等)、處理動作(允許、拒絕)以及內容安全檢查(如IPS、AV)
- 匹配條件用于匹配報文的屬性信息,即明確需要對哪些報文進行檢測和處理;多個匹配條件之間是與的關系,即同時滿足多個過濾條件則成功匹配行為管理策略;當存在多個行為管理策略時,將按配置順序逐條向下匹配,直到匹配成功;
- 匹配成功的報文將會按照處理動作進行轉發(允許)或丟棄并記錄安全日志(拒絕);
- 若行為管理策略中啟用了內容安全檢查相關功能,那么行為管理策略會將報文轉發給入侵防護、病毒防護、URL過濾等模塊進行內容安全檢查。 匹配URL過濾、關鍵字過濾、入侵防御或防病毒策略的報文將會按照對應的處理動作進行轉發并記錄安全日志(告警)或丟棄(阻斷);未匹配的報文則直接放行。
(三)行為管理處理模擬運行的應用場景是什么?如何配置?
在日常運維過程中,隨著業務的累加、運維人員的變更等因素,行為管理策略的配置復雜度會越來越高。在運維的中后期,對策略的修訂時,由于配置不當,導致業務中斷的風險也隨著策略的復雜度越來越高。網關提供了一個虛擬的策略空間,供運維人員對策略的改動做驗證測試,但不影響真實網絡環境中的業務,即模擬空間中的行為管理策略不會對真實業務流量做放行、阻斷的操作。該功能解決了運維中由于配置不當導致業務中斷等痛點問題,給運維人員提供一個測試驗證環境,從而降低了運維難度和風險,降低運維成本。
【操作步驟】
(1) 點擊[策略配置]>>[行為管理]>>[行為管理]菜單項。
(2) 點擊操作區右上角的<進入模擬空間>按鈕。
(3) 勾選需要模擬運行的策略,點擊<開始模擬運行>,并設置模擬運行時長。
【后續處理】
在策略模擬空間中,運維人員可以將當前實際生效的安全策略拷貝導入到其中,并對策略做期望的改動。例如,根據業務需求新增、修訂、刪除策略。
在運維人員驗證確認模擬空間中的安全策略無問題后,便可以將模擬空間中的安全策略導出生效,替換當前的安全策略。
(四)如何實現源NAT?
源NAT即對報文的源地址進行轉換,通過配置NAT轉換策略實現,策略中需要指定源區域、源地址、目的區域、目的地址及轉換后的數據包。
(五)是否支持線路探測?
支持
(六)如何實現源NAT?
源NAT即對報文的源地址進行轉換,通過配置NAT轉換策略實現,策略中需要指定源區域、源地址、目的區域、目的地址及轉換后的數據包。
(七)網關在二次穿越的場景中會不會阻斷TCP會話?
不會。但同一條報文流二次穿越設備時,開啟SYN-FLOOD(DDoS功能)防護會觸發SYN-Cookie二次認證,導致TCP連接無法正常建立。
(八)是否支持端口聚合?
支持。
(九) 如何查看設備的CPU、內存、磁盤等信息?
登錄Web管理界面,在首頁查看設備CPU、內存、磁盤的使用情況。
(十)如何查看設備接口流量?
登錄Web管理界面,點擊[安全監控]>>[流量監控]>> [接口流量]>> [接口流量統計],可以查看接口流量。
(十一)是否支持IPsec VPN ?
支持。
(十二)什么是流量學習?有什么作用?
設備開局配置時,用戶需要分析一段時間的流量日志后,才能梳理出當前網絡中存在的資產。而流量學習功能能夠自動分析流量日志,通過用戶設定的需要分析的資產IP或IP范圍,梳理當前網絡中的資產IP、開放的端口及資產之間的訪問關系呈現給用戶。
(十三)什么是端口掃描?有什么作用?是否支持IPv6?
端口掃描功能可以幫助管理員快速地了解內網服務器的IP及開放的端口信息,并且可根據掃描結果選擇是否生成行為管理策略,以便幫助構建企業內網的安全性。目前不支持IPv6。
發布時間:2024-06-14
點擊量:347
文檔評價
