fwpro
防火墙概要文件通过允许您在应用策略前选择一台客户端或一组客户端必须具有的属性来提供灵活性。创建可以创建、配置或删除特定域的概要文件的用户角色。
使用内置管理员帐户的用户或具有完全管理权限的用户还可以启用覆盖客户端安全级别例外列表选项以使用服务器设置替换客户端概要文件设置。
概要文件包括以下内容:
关联的策略:每个概要文件都使用一个策略
客户端属性:带有一个或多个以下属性的客户端应用关联的策略:
IP 地址:具有特定 IP 地址,其 IP 地址在某个 IP 地址范围内,或者其 IP 地址属于特定子网的客户端
域:属于特定防毒墙网络版域的客户端
计算机:带有特定计算机名的客户端
平台:运行特定平台的客户端
登录名:指定的用户已登录到的客户端计算机
NIC 描述:包含匹配的 NIC 描述的客户端计算机
客户端连接状态:客户端是联机还是脱机
如果客户端可以连接到防毒墙网络版服务器或任一参考服务器,则客户端处于联机状态;如果客户端无法连接到任何服务器,则客户端处于脱机状态。
用户权限:允许或阻止客户端用户执行以下操作:
更改在策略中指定的安全级别
编辑与策略相关联的例外列表
这些权限仅适用于与概要文件中指定的属性相匹配的客户端。可以将其他防火墙权限分配给选定的客户端用户。有关详细信息,请参阅防火墙权限。
防毒墙网络版附带一个名为"所有客户端概要文件"的缺省概要文件,此概要文件使用"所有访问"策略。可以修改或删除此缺省概要文件。也可以创建新的概要文件。所有缺省的和用户创建的防火墙概要文件(包括与每个概要文件关联的策略和当前概要文件状态)都显示在 Web 控制台上的防火墙概要文件列表中。管理概要文件列表并将所有概要文件部署到防毒墙网络版客户端。防毒墙网络版客户端将所有防火墙概要文件存储在客户端计算机中。
配置防火墙概要文件列表:
联网计算机 > 防火墙 > 概要文件
对于使用内置管理员帐户的用户或具有完全管理权限的用户,也可以启用覆盖客户端安全级别例外列表选项以使用服务器设置替换客户端概要文件设置。
要添加新的概要文件,请单击添加。要编辑现有概要文件,请选择概要文件名称。
将显示概要文件配置窗口。请参阅添加和编辑防火墙概要文件以获取详细信息。
要删除现有策略,请选中策略旁的复选框,然后单击删除。
要更改概要文件在列表中的顺序,请选中要移动的概要文件旁的复选框,然后单击上移或下移。
防毒墙网络版按照列表中显示的顺序将防火墙概要文件应用到客户端。例如,如果客户端与第一个概要文件匹配,则防毒墙网络版会把为该概要文件配置的操作应用到该客户端。防毒墙网络版将忽略为该客户端配置的其他概要文件。
将排他性最强的策略放在列表顶部,这样效果最好。例如,将为单个客户端创建的策略移动到顶部,接下来才是为一系列客户端、网络域和所有客户端创建的策略。
要管理参考服务器,请单击编辑参考服务器列表 (Edit Reference Server List)。
只有使用内置管理员帐户的用户或那些具有完全管理权限的用户可以查看和配置参考服务器列表。
参考服务器是在防毒墙网络版服务器应用防火墙概要文件时作为其替换服务器的计算机。参考服务器可能是网络上的任何计算机。当启用参考服务器时,防毒墙网络版做以下假设:
连接到参考服务器的客户端联机,即使客户端无法与防毒墙网络版服务器通信。
应用于联机客户端的防火墙概要文件也适用于连接到参考服务器的客户端。
有关详细信息,请参阅参考服务器。
保存当前设置并将概要文件分配到客户端:
选择是否要覆盖客户端安全等级/例外列表。此选项将覆盖所有用户配置的防火墙设置。
单击向客户端分配概要文件。防毒墙网络版将概要文件列表中的所有概要文件分配给所有客户端。
验证是否将概要文件成功分配到客户端:
转至联网计算机 > 客户端管理。在客户端树视图下拉框中,选择防火墙视图。
请确保在客户端树中的防火墙列下有绿色复选标记。如果与概要文件关联的策略启用入侵检测系统,则在 IDS 列下还存在绿色复选标记。
验证客户端是否应用了正确的防火墙策略。该策略在客户端树中的防火墙策略列下显示。
另请参阅: