防火牆規則動作 
防火牆規則可以執行以下操作:
-
Allow: 明確允許符合規則的流量通過,然後隱含拒絕所有其他流量。
-
Bypass: 允許流量繞過防火牆和入侵防護分析。對於媒體密集型通訊協定或來自受信任來源的流量,請使用此設定。繞過規則可以基於 IP、埠、傳輸方向和通訊協定。
-
Deny: 明確阻擋符合規則的流量。
-
Force Allow: 強制允許其他規則會拒絕的流量。
注意
由強制允許規則允許的流量仍將由入侵防護模組進行分析。 -
Log only: 流量將僅被記錄。不會採取其他行動。
更多關於允許規則
|
注意未明確允許規則允許的流量將被丟棄,並記錄為「超出“允許”政策」的防火牆事件。
|
常見的允許規則包括:
允許規則有兩個功能:
步驟
- 允許明確允許的流量。
- 隱式拒絕所有其他流量。
接下來需執行的動作
- ARP:允許傳入的地址解析通訊協定 (ARP) 流量。
- Allow solicited TCP/UDP replies:允許電腦防護接收其自身 TCP 和 UDP 訊息的回覆。這與 TCP 和 UDP 狀態配置一起運作。
- Allow solicited ICMP replies:允許電腦防護接收其自身 ICMP 訊息的回覆。這與 ICMP 狀態配置一起運作。
更多關於繞過規則
繞過規則是為了媒體密集型協議或來自受信任來源的流量而設計的,這些流量不需要或不希望由防火牆或入侵防護模組進行過濾。
符合繞過規則條件的封包:
- 不受有狀態配置設定條件的限制。
- 繞過防火牆和入侵防護分析。
由於狀態檢查不適用於繞過的流量,因此在一個方向上繞過流量並不會自動繞過另一方向的回應。繞過規則應始終成對創建和應用,一條規則用於傳入流量,另一條規則用於傳出流量。
|
注意繞過規則事件不會被記錄。這不是可配置的行為。
|
Server & Workload Security保護 流量的預設繞過規則
Server & Workload Security保護 自動實施優先級為 4 的繞過規則,該規則在運行代理的計算機上打開代理的監聽端口上的傳入 TCP 流量以進行心跳。優先級 4 確保此規則在任何拒絕規則之前應用,並且繞過保證流量不會受到阻礙。繞過規則不會在防火牆規則列表中顯示,因為該規則是內部創建的。
但是,此規則接受來自任何 IP 位址和任何 MAC 位址的流量。為了加強此埠上代理程式的安全性,您可以為此埠建立一個替代的、更具限制性的繞過規則。代理程式實際上會關閉預設的
Server & Workload Security保護 流量規則,並使用具有以下特徵的新自訂規則:
- Priority: 4 - 最高
- Packet direction: 來電
- Frame type: IP
- Protocol: TCP
- Packet Destination Port: 代理程式接收來自 Server & Workload Security保護 的心跳訊號的通訊埠號碼
自訂規則必須使用上述參數來取代預設規則。理想情況下,應使用 Server & Workload Security保護 的 IP 位址或 MAC 位址作為規則的封包來源。
更多關於強制允許規則
強制允許選項排除了一部分本來會被拒絕動作覆蓋的流量。其與其他動作的關係如下所示。強制允許的效果與繞過規則相同。然而,不同於繞過,因為此動作通過防火牆的流量仍然會受到入侵防護模組的檢查。強制允許動作特別有助於確保基本的網路服務能夠與DSA電腦通信。一般來說,強制允許規則應僅與允許規則結合使用,以允許被允許和拒絕規則禁止的一部分流量。當ICMP和UDP狀態啟用時,強制允許規則也需要允許未經請求的ICMP和UDP流量。
防火牆規則順序
到達電腦的封包首先由防火牆規則處理,然後是防火牆有狀態配置條件,最後由入侵防護規則處理。
這是防火牆規則應用的順序(傳入和傳出):
步驟
- 具有優先順序 4 (highest) 的防火牆規則
- Bypass
- Log Only(僅記錄規則只能分配 4 (highest) 的優先級)
- Force Allow
- 拒絕
- 具有優先順序 3 (high) 的防火牆規則
- Bypass
- Force Allow
- 拒絕
- 具有優先順序 2 (normal) 的防火牆規則
- Bypass
- Force Allow
- 拒絕
- 具有優先順序 1 (low) 的防火牆規則
- Bypass
- Force Allow
- 拒絕
- 具有優先順序 0 (lowest) 的防火牆規則
- Bypass
- Force Allow
- 拒絕
- 允許(請注意,允許規則只能被分配優先級 0 (lowest))
接下來需執行的動作
|
注意如果您在電腦防護上沒有啟用任何允許規則,則所有流量都被允許,除非它被拒絕規則特別封鎖。一旦您創建了一個允許規則,所有其他流量都會被封鎖,除非它符合允許規則的條件。這有一個例外:ICMPv6
流量始終被允許,除非它被拒絕規則特別封鎖。
|
在相同優先級上下文中,拒絕規則將覆蓋允許規則,而強制允許規則將覆蓋拒絕規則。通過使用規則優先級系統,可以使優先級較高的拒絕規則覆蓋優先級較低的強制允許規則。
考慮一個 DNS 伺服器政策的例子,該政策使用強制允許規則來允許所有傳入的 DNS 查詢。建立一個優先級高於強制允許規則的拒絕規則,讓您可以指定必須禁止存取相同公共伺服器的特定 IP 位址範圍。
基於優先級的規則集允許您設置規則應用的順序。如果拒絕規則設置為最高優先級,且沒有相同優先級的強制允許規則,則任何符合拒絕規則的數據包將自動被丟棄,並忽略其餘規則。相反地,如果存在設置了最高優先級標誌的強制允許規則,任何符合強制允許規則的進入數據包將自動被允許通過,而不會被檢查其他規則。
關於日誌記錄的說明
繞過規則永遠不會生成事件。這是不可配置的。
僅記錄規則僅在以下情況下生成事件:如果相關封包未被以下任一項攔截:
- 一個拒絕規則,或
- 允許規則將其排除。
如果封包被這兩條規則中的其中一條攔截,這些規則將生成事件,而不是僅記錄日誌的規則。如果沒有後續規則攔截封包,僅記錄日誌的規則將生成事件。
防火牆規則如何協同運作
Server & Workload Security保護 防火牆規則同時具有規則動作和規則優先級。結合這兩個屬性,您可以創建非常靈活且強大的規則集。與其他防火牆使用的規則集不同,其他防火牆可能要求按規則執行的順序定義規則,而
Server & Workload Security保護 防火牆規則則根據規則動作和規則優先級以確定的順序運行,這與它們被定義或分配的順序無關。
規則動作
每個規則可以有四種操作之一。
步驟
- Bypass: 如果封包符合繞過規則,則無論任何其他規則(在相同優先級別),它都會通過防火牆和入侵防護引擎。
- Log Only: 如果封包符合僅記錄規則,則會通過並記錄事件。
- Force Allow: 如果封包符合強制允許規則,則無論其他任何規則(在相同優先級別)如何,該封包都會被通過。
- Deny: 如果封包符合拒絕規則,則會被丟棄。
- Allow: 如果封包符合允許規則,則會通過。任何不符合允許規則的流量都會被拒絕。
接下來需執行的動作
實施允許規則將導致所有未明確涵蓋在允許規則內的其他流量被拒絕:
可以在允許規則上實施拒絕規則以封鎖特定類型的流量:
可以在被拒絕的流量上設置強制允許規則,以允許某些例外通過:
規則優先順序
可以在五個優先級中的任何一個定義拒絕和強制允許類型的規則操作,以便進一步細化允許規則集定義的允許流量。規則按優先級順序從最高(優先級4)到最低(優先級0)運行。在特定的優先級別內,規則根據規則操作(強制允許、拒絕、允許、僅記錄)順序處理。
優先級上下文允許用戶使用拒絕和強制允許規則組合來逐步細化流量控制。在相同的優先級上下文中,允許規則可以被拒絕規則否定,拒絕規則可以被強制允許規則否定。
|
注意類型為允許的規則動作僅在優先級 0 執行,而類型為僅記錄的規則動作僅在優先級 4 執行。
|
將規則動作和優先順序結合在一起
規則按優先順序從最高(優先級 4)到最低(優先級 0)運行。在特定的優先級別內,規則根據規則操作按順序處理。相同優先級的規則處理順序如下:
- 繞過
- Log Only
- 強制允許
- 拒絕
- 允許
|
注意請記住,類型為允許的規則動作僅在優先級 0 執行,而類型為僅記錄的規則動作僅在優先級 4 執行。
|
|
注意請記住,如果您有一個強制允許規則和一個拒絕規則具有相同的優先級,則強制允許規則優先於拒絕規則,因此符合強制允許規則的流量將被允許。
|