防火牆規則會檢查個別封包中的控制資訊,並根據您定義的準則來封鎖或允許它們。防火牆規則可以分配給政策或直接分配給電腦。
 |
注意本文專門介紹如何建立防火牆規則。關於如何配置防火牆模組的資訊,請參閱 設定 Server & Workload Security保護 防火牆。
|
要建立新的防火牆規則,您需要:
當您完成防火牆規則後,您還可以學習如何:
新增規則
在頁面上有三種方法可以新增防火牆規則。您可以:
- 建立新規則。點選。
- 從 XML 檔案匯入規則。點選 。
- 複製並修改現有規則。在防火牆規則列表中右鍵點選該規則,然後點選Duplicate。要編輯新規則,選擇它,然後點選Properties。
選擇規則的行為和通訊協定
-
輸入規則的Name和Description。
注意
將所有防火牆規則變更記錄在防火牆規則的描述欄位中是一個好的做法。記下規則創建或刪除的時間和原因,以便更輕鬆地進行防火牆維護。 -
選擇規則應對封包執行的處理行動。您可以從以下五個動作中選擇:
注意
對於一個封包只應用一個規則動作,且相同優先級的規則按以下列出的優先順序應用。- 該規則可以允許流量bypass防火牆。繞過規則允許流量以最快的速度通過防火牆和入侵防護引擎。繞過規則適用於使用媒體密集協議的流量,這些流量可能不需要過濾,或來自受信任來源的流量。
秘訣
如需有關如何在政策中為受信任來源建立和使用繞過規則的範例,請參閱 允許受信任的流量繞過防火牆。注意
繞過規則是單向的。每個方向的流量都需要明確的規則。秘訣
您可以通過以下設置在旁路規則上實現最大吞吐量性能:- Priority: Highest
- Frame Type: IP
- Protocol: TCP、UDP 或其他 IP 通訊協定。(請勿使用「任何」選項。)
- Source and Destination IP and MAC: 所有 "任何"
- 如果通訊協定是 TCP 或 UDP 且傳輸方向為「傳入」,則目標端口必須是指定的一個或多個端口(不能是「任何」),而來源端口必須是「任何」。
- 如果通訊協定是 TCP 或 UDP 且傳輸方向是「傳出」,則來源埠必須是指定的一個或多個埠(不能是「任何」),而目的埠必須是「任何」。
- Schedule: 無。
- 該規則可以log only。此操作將在日誌中建立條目,但不會處理流量。
- 該規則可以force allow定義的流量(它將允許此規則定義的流量,而不排除任何其他流量。)
- 該規則可以deny流量(它將拒絕此規則定義的流量。)
- 該規則可以allow流量(它將僅允許此規則定義的流量。)
注意
如果您在電腦防護上沒有啟用允許規則,則所有流量都被允許,除非它被拒絕規則特別封鎖。一旦您創建了一個允許規則,所有其他流量都會被封鎖,除非它符合允許規則的要求。有一個例外:ICMPv6流量始終被允許,除非它被拒絕規則特別封鎖。 -
選擇規則的Priority。優先順序決定規則應用的順序。如果您選擇了“強制允許”、“拒絕”或“繞過”作為您的規則動作,您可以設置優先順序從0(低)到4(最高)。設置優先順序允許您結合規則的動作以實現級聯規則效果。
注意
Log only 規則只能具有 4 的優先順序,而 允許 規則只能具有 0 的優先順序。注意
高優先級規則會在低優先級規則之前應用。例如,優先級為3的端口80入站拒絕規則會在優先級為2的端口80入站強制允許規則應用之前丟棄數據包。如需有關操作和優先順序如何協同工作的詳細資訊,請參閱防火牆規則操作和優先順序。 -
選擇一個封包方向。選擇此規則是應用於傳入(從網路到電腦防護)還是傳出(從電腦防護到網路)的流量。
注意
單個防火牆規則僅適用於單一方向的流量。您可能需要為特定類型的流量成對創建入站和出站防火牆規則。 -
選擇一個乙太網路Frame Type。術語「frame」指的是乙太網路幀,可用的協議指定幀所承載的資料防護。如果您選擇「其他」作為幀類型,您需要指定一個幀號。
注意
IP 覆蓋 IPv4 和 IPv6。您也可以單獨選擇 IPv4 或 IPv6。注意
在 Solaris 上,代理只會檢查具有 IP 幀類型的數據包,而 Linux 代理只會檢查具有 IP 或 ARP 幀類型的數據包。其他幀類型的數據包將被允許通過。如果您選擇網路通訊協定 (IP) 幀類型,您需要選擇傳輸通訊協定。如果您選擇「其他」作為通訊協定,您還需要輸入一個通訊協定號碼。
選擇封包來源和封包目的地
選擇 IP 和 MAC 地址的組合,如果適用於幀類型,則選擇 通訊埠 和 Specific Flags 作為封包來源和封包目的地。
對 IP 型框架類型的技術支援中心如下:
|
IP
|
MAC
|
通訊埠
|
標誌
|
|
|
任何
|
✔
|
✔
|
||
|
ICMP
|
✔
|
✔
|
✔
|
|
|
ICMPV6
|
✔
|
✔
|
✔
|
|
|
IGMP
|
✔
|
✔
|
||
|
GGP
|
✔
|
✔
|
||
|
TCP
|
✔
|
✔
|
✔
|
✔
|
|
潛在有害程式
|
✔
|
✔
|
||
|
UDP
|
✔
|
✔
|
✔
|
|
|
IDP
|
✔
|
✔
|
||
|
ND
|
✔
|
✔
|
||
|
原始
|
✔
|
✔
|
||
|
TCP+UDP
|
✔
|
✔
|
✔
|
✔
|
|
注意ARP 和 REVARP 幀類型僅支援使用 MAC 位址作為封包來源和目的地。
|
您可以選擇Any Flags或單獨選擇以下標誌:
- URG
- ACK
- PSH
- RST
- SYN
- FIN
配置規則事件和警報
當防火牆規則被觸發時,它會在Server & Workload Security保護中記錄一個事件並記錄封包資料。
|
注意使用「允許」、「強制允許」和「繞過」動作的規則將不會記錄任何事件。
|
警報
您可以配置規則,使其在記錄事件時也觸發警報。為此,請打開規則的屬性,點選選項,然後選擇Alert when this rule logs an event。
|
注意只有將動作設置為「拒絕」或「僅記錄」的防火牆規則才能配置為觸發警報。
|
為規則設定排程
選擇防火牆規則是否僅在排定的時間內啟用。
如需詳細資訊,請參閱 定義可應用於規則的排程。
為規則指派一個上下文
規則上下文允許您為不同的網路環境設置獨特的防火牆規則。上下文通常用於允許筆記型電腦在內部和外部使用時生效不同的規則。
如需有關如何建立情境的詳細資訊,請參閱 在原則中使用的情境定義。
|
秘訣要查看使用上下文實施防火牆規則的範例策略,請查看「Windows Mobile Laptop」策略的屬性。
|
查看規則所分配的政策和電腦
您可以在Assigned To標籤上查看分配給防火牆規則的政策和電腦。點選列表中的政策或電腦以查看其屬性。
匯出規則
您可以通過點擊Export並從列表中選擇相應的匯出操作,將所有防火牆規則匯出到.csv或.xml文件。您也可以先選擇特定的規則,然後點擊Export,再從列表中選擇相應的匯出操作來匯出特定規則。
刪除規則
要刪除規則,請在防火牆規則列表中右鍵點選該規則,點選刪除,然後點選確定。
|
注意分配給一台或多台電腦或屬於某個政策的防火牆規則無法刪除。
|