文档中心

云防火墙CFW用户指南（下）

最近更新时间：

4 对象配置

对象是防火墙最基本的原件，可以在防火墙的各种策略中被引用。在进行各种策略配置前，需要先配置被引用的各种对象。

4.1 地址

4.1.1 添加地址对象

防火墙地址对象支持添加 IPv4 地址、IPv6 地址和域名。当地址对象中同时包含 IPv4 地址和 IPv6地址时，IPv6 地址不生效。要配置 IPv6 地址对象时，请不要添加 IPv4 地址。

(1) 选择“对象配置 > 地址 > 地址”。

(2) 单击“添加”。

(3) 配置地址对象参数。

(4) 配置完成后，单击“确定”。

配置好的地址对象可以在地址对象列表中查看。可以看到该地址对象的名称、地址、排除地址、被引用次数和操作。

 单击被引用的次数可以查看该地址对象被哪些策略引用。

 单击操作对应的按钮，可以对地址对象的参数进行修改。

4.1.2 添加地址组

防火墙地址组对象支持添加地址对象和地址组。

(1) 选择“对象配置 > 地址 > 地址组”。

(2) 单击“添加”。

(3) 配置地址组参数。

(4) 配置完成后，单击“确定”。

配置好的地址组可以在地址组列表中查看。可以看到该地址组的名称、内容、被引用次数和操作。

 单击被引用的次数可以查看该地址组被哪些策略引用。

 单击操作对应的按钮，可以对地址组的参数进行修改。

4.2 国家/地区

4.2.1 查看预定义国家/地区

防火墙支持区域库，可以查看区域库中预定义的国家/地区。

4.2.2 添加自定义国家/地区

(1) 选择“对象配置 > 国家/地区”。

(2) 单击“添加”。

(3) 配置国家/地区的参数。

(4) 配置完成后，单击“确定”。

4.3 应用

4.3.1 简介

应用是利用应用程序的独有特征来标识对应的应用程序，从而精确识别各种场景应用程序的手段。通过应用特征可以识别出协议和端口号相同的不同应用程序。防火墙支持预定义应用和自定义应用。

• 预定义应用：通过应用识别库加载应用识别库包含的所有应用都会在应用列表中显示。应用识别库会不断更新来添加新的应用，请及时升级最新的应用识别库，以保证基于应用识别的策略能保持有效性。

• 自定义应用：用户可以根据应用的特征自定义一个新的应用，系统根据用户配置的应用规则识别应用。

应用包括五个维度的属性：分类、子分类、数据传输方式、风险等级和特征属性。分类和子分类说明如下表所示。

防火墙将应用的风险等级分为 5 级。从 1 到 5，数字越大，风险级别越高。系统通过应用的特征属性自动计算应用的风险等级。特征属性用于描述应用的安全方面的特征，包括：

• 回避

• 使用过多带宽

• 被恶意软件使用

• 能传输文件

• 有已知漏洞

• 其他隧道应用程序

• 易误用

• 普遍使用

• 被其他应用程序持续扫描

4.3.2 查看预定义应用

预定义应用不可以被修改或删除，只能被查看和引用。

(1) 选择“对象配置 > 应用 > 应用”。

(2) 可以在应用列表中查看所有预定义应用。

(3) （可选）通过选中某个分类、子分类、数据传输方式或风险等级可以筛选出符合选中条件的应用类型。

(4) （可选）筛选出的应用类型，还可以通过页面右上角的查询功能进行关键字查询。

(5) 单击应用的“查看”，查看应用的详细信息。

单击链接，可以跳转到链接页面，查看该应用的详细说明。

4.3.3 添加自定义应用

(1) 选择“对象配置 > 应用 > 应用”。

(2) 单击“添加”。

(3) 配置应用的名称和描述。

(4) 配置应用的基本属性。

选择应用所属的分类、子分类、数据传输方式、风险等级、父应用、特征属性等。可以同时选择多种特征属性。

(5) 单击“规则”页签，单击“添加”，添加应用规则。

a. 配置规则的名称、描述。

b. 选择协议。选择规则匹配的协议。

c. 协议包括：HTTP、TCP、UDP、ICMP 和 ICMPv6。

d. 设置是否开启按顺序检测。

e. （可选）配置地址匹配规则。

f. 配置应用的源端口、目的端口、IP 地址、域名。

− 最多配置 4 个源端口号或目的端口号，端口号之间以英文逗号“,”隔开。

− 最多添加 4 个 IP 地址。IP 地址可以是 IPv4 地址也可以是 IPv6 地址。

− 最多添加 4 个域名，每个域名一行，用回车符分隔。域名可以包含通配符“*”，通配

符只能在域名最前面。包含通配符的域名优先级低于不包含通配符的域名。例如www.a.com 优先级高于*.a.com。

g. 配置报文匹配规则：单击“报文匹配”。单击“添加”，添加条件，添加完成后，单击“确定”。最多可以添加 8 个与条件，16 个或条件。

(6) 规则配置完成后，单击“确定”。

(7) 单击“确定”，完成自定义应用。

(8) 单击“提交”。只有提交后的应用才生效。

4.3.4 添加应用组

多个应用的集合被称为一个应用组。系统支持把预定义应用和自定义应用加入到同一个应用组。

(1) 选择“对象配置 > 应用 > 应用组”。

(2) 单击“添加”。

(3) 配置应用组的名称和描述。

(4) 单击“添加”，选中要加入应用组的应用。可以通过分类、数据传输方式、风险等级筛选或关键字查询查找到对应的应用。若需要添加新的应用，请单击“添加”。配置完成后，单击“确定”。

(5) 单击“确定”。

4.4 时间

时间对象可以在策略中被引用，让策略在时间对象所指定的时间范围内生效。对用户来说，可以实现某个时间段对某些业务进行访问控制，某个时间段不对某个业务进行访问控制，时间控制能精确到秒，让防火墙策略更加灵活。

4.4.1 添加单次时间对象

单次时间对象是指指定具体日期和时间的时间段对象。时间段不循环。

(1) 选择“对象配置 > 时间”。

(2) 单击“添加”。

(3) 设置时间对象的参数。

(4) 配置完成后，单击“确定”。

4.4.2 添加循环时间对象

循环时间对象支持每日循环、每周循环和每月循环。每日循环支持指定时间段；每周循环通过引用每日循环指定每周执行日期和对应时间段；每月循环支持指定执行日期，不支持指定时间段，时间段默认为 24 小时。

(1) 选择“对象配置 > 时间”。

(2) 单击“添加”

(3) 设置时间对象的参数。

(4) 配置完成后，单击“确定”。

配置好的时间对象在时间对象列表中显示。类型为“每日”、“每周”或“每月”。可以在列表中查看时间对象的名称、类型、时间段、引用次数。可以对时间对象进行修改、查询和删除操作。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服