Security Policy是,在Security Zone之间,对traffic进行过滤的规则。
设定Security Policy的时候需要的基本信息:
1,发信地址
2,收信地址
3,允许使用的app
对于packet可执行的动作:
1,Permit 允许通过
2,Deny 禁止通过
3,Reject 废弃该packet并通知发信者
4,Log 取得处理日志,可选设定
5,Count 取得处理数量,可选设定
设定过程和命令
1,为了指定送信地址和收信地址,需要创建address-book.
不需要限定IP地址时,可以使用默认的「any」。
set security address-book [地址簿名称] address [ip地址名称] [ip地址/prefix]
2,然后,将地址簿设定在security zone中
set security address-book [地址簿名称] attach zone [Zone名称]
3,设定policy
为了缩短命令长度,可以使用edit命令进入较为下位的阶层后再进行设定。
edit security policies from-zone [Zone名称] to-zone [Zone名称]
set policy [policy名称] match source-address [送信地址名称]
set policy [policy名称] match destination-address any
set policy [policy名称] match application any
set policy [policy名称] then permit
set policy [policy名称] then count
4,如果不是Well-known的接口号码,则需要进行自定义
set applications application [app名称] protocol [tcp/udp]
set applications application [app名称] source-port 1-65535(全port)
set applications application [app名称] destination-port 23
set applications application [app名称] inactivity-timeout 28800/36000
5,可以将多个app设置在一个app set里
set applications application-set [app set名称] application [app名称1]
set applications application-set [app set名称] application [app名称2]
set applications application-set [app set名称] application [app名称3]
※show security alg status命令可以看到ALG功能的生效状况
如果需要关闭某个协议的ALG功能时,可使用下记命令:
set security alg [协议名称] disable
。
感觉自己中文又退化了。。。
网友评论