文档中心

云防火墙CFW用户指南（下）

最近更新时间：

6 安全策略与安全配置文件

防火墙通过安全策略对流量进行控制。在安全策略中可以通过引用安全配置文件或安全配置文件组对流量执行安全配置文件定义的内容安全检测。安全配置文件包括 IPS 入侵防护（包括漏洞防护、防间谍软件）、URL 过滤、文件过滤、内容过滤管控。安全配置文件组是包括 IPS 入侵防护（包括漏洞防护、防间谍软件）、URL 过滤、文件过滤、内容过滤管控中的一种或多种安全配置文件的组合。一个安全配置文件或安全配置文件组可以被多个安全策略引用。安全策略中引用了安全配置文件时，若需要对 SSL 加密的流量进行内容检测，需要配置 SSL 解密策略对流量进行解密。

6.1 安全策略

防火墙通过安全策略对流量进行控制。安全策略决定流量能否通过防火墙。流量命中安全策略，且动作为“允许”，则该流量允许通过防火墙；流量命中安全策略，且动作为“拒绝”或流量不能命中安全策略列表中任意一条安全策略，则拒绝该流量通过。

6.1.1 使用限制和注意事项

• 安全策略列表中的安全策略按照从上到下的顺序进行匹配，越靠前的安全策略优先级越高。因此配置安全策略时，需要按照从特殊到一般的顺序。这样流量才会优先匹配更精细的特殊策略，而不会匹配上一般策略。

• 没有匹配任何安全策略的流量，防火墙默认拒绝。

• 处于安全性的考虑，建议指定精确的源 IP 地址和目的地址，而不是配置为“any”。

• 为了更合理的分配存储和分析性能，仅对需要记录日志的流量开启日志记录功能。

6.1.2 新建安全策略

安全策略可以基于源安全域、目的安全域、源用户、源地址/地区、目的地址/地区、服务、应用、时间、参数对流量进行限制，并可以对流量进行漏洞防护、防间谍软件、URL 过滤、内容过滤、文件过滤等安全检测。

(1) 选择“策略配置 > 安全策略”。

(2) 单击“添加”。

(3) 配置安全策略参数。

(4) 配置完成后，单击“确定”。

配置好的安全策略在安全策略列表中显示。可以看到配置好的安全策略的名称、源安全域、目的安全域、源地址/地区、目的地址/地区、服务、应用、时间、安全配置文件、动作、命中数。可以在列表中设置开启或关闭某条安全策略。对于安全策略列表中的安全策略可以进行编辑、复制、删除、调序、清除命中数、搜索、刷新等操作。

6.1.3 复制创建安全策略

防火墙支持通过复制方式创建一条新的安全策略。

(1) 选中一条创建好的安全策略。

(2) 单击“复制”。

(3) 设置安全策略的参数。

通过复制方式创建安全策略时安全策略的参数与被复制的安全策略的参数一致。可以在此基础上进行修改设置。

(4) 配置完成后，单击“确定”。

6.1.4 调整安全策略的顺序

安全策略在安全策略列表中的顺序跟安全策略的优先级有关。最上面的安全策略优先级最高，优先进行匹配。可以通过调整安全策略在列表中的位置调整安全策略的执行顺序。越精细的安全策略需要的优先级越高，否则数据流匹配了更宽泛的安全策略就不会继续匹配精细的安全策略了。智慧管理分析系统下发的安全策略优先级高于防火墙本地的安全策略。仅可以调整防火墙本地安全策略的顺序。

(1) 选中一条安全策略。

(2) 单击“调序”。

(3) 选择调整策略。调整策略关系支持“置顶”、“之前”、“之后”和“末尾”。通过这些关键字可以将安全策略调整到列表顶端、指定策略前、指定策略后和末端。

(4) 单击“确定”。

6.1.5 查看冗余策略

防火墙支持对创建的安全策略进行冗余分析。冗余分析的结果在“冗余策略”页面进行显示。策略冗余分析功能主要的作用是帮助用户在安全策略列表中寻找是否存在冗余或无法生效的规则，如果存在，就会在策略冗余分析列表中，将相应的安全策略显示出来，用户可以检查是否是因为配置重复、配置错误、规则顺序错误导致安全策略规则出现了冗余。单击每一条冗余策略对应的按钮，可以弹出与该条冗余策略存在冗余关系并且当前正在生效的安全策略。用户可以对比生效的安全策略来确定冗余策略该如何进行修改。

策略冗余分析判断方法：

假设有 a,b 两条安全策略，a 策略在前，b 策略在后，即 a 策略比 b 策略的序号小。b 策略必须同时满足以下所有条件，才会被判断为冗余策略。条件如下：

• a 策略的源地址范围包含 b 策略的源地址范围相同，类型相同（同是 IPv4，或同是 IPv6）。

• a 策略的目的地址范围包含 b 策略的目的地址范围，类型相同（同是 IPv4，或同是 IPv6）。

• a 策略的应用包含 b 策略的应用。

• a 策略的服务包含 b 策略的服务。

• a 策略的源安全域和 b 策略的源安全域相同。

• a 策略的目的安全域和 b 策略的目的安全域相同或 a 策略的目的安全域为 any。

• a 策略的 vlan 包含 b 策略的 vlan（如果配置了）。

• a 策略的时间计划的时间范围包含 b 策略的时间计划的时间范围（如果配置了）。

6.2 IPS入侵防御

6.2.1 简介

云防火墙的能够实时检测和防御跨站脚本、拒绝服务、恶意扫描、暴力破解、SQL 注入、Web 攻击、缓冲区溢出及其他攻击漏洞以及病毒蠕虫、木马后门、僵尸网络等间谍软件。除入侵防御特征库中预定义的签名外，用户能够添加自定义漏洞签名和间谍软件签名。云防火墙不仅可以在网络层和传输层分析和跟踪 IP、ICMP、TCP、UDP 等协议，对这些协议的准确性进行验证；还可以对 FTP、HTTP、IMAP、POP3、SMTP 及其他应用协议的合法性进行分析。下一代防火墙可以对 TCP 流进行流重组检测，并对重组后的数据进行攻击检测。数据库暴力破解防护支持 MYSQL 和 Oracle 数据库暴力破解防护。

6.2.2 添加漏洞防护签名

(1) 选择“对象配置 > 自定义签名 > 漏洞”。

(2) 单击“添加”。

(3) 设置漏洞签名的名称和描述。

(4) 设置漏洞签名的基本参数。

(5) 配置漏洞规则。

a. 设置是否开启按顺序检测。

b. 单击“添加”，添加漏洞规则，添加完成后，单击“确定”。

c. 设置源端口和目的端口。

(6) 规则配置完成后，单击“确定”。

配置好的漏洞签名在漏洞列表中显示。

(7) 单击“提交”。

6.2.3 添加间谍软件防护签名

(1) 选择“对象配置 > 自定义签名 > 间谍软件”。

(2) 单击“添加”。

(3) 设置间谍软件防护签名的名称和描述

(4) 设置间谍软件防护签名的基本参数。

(5) 配置间谍软件规则。

a. 设置是否开启按顺序检测。

b. 单击“添加”，添加漏洞规则，添加完成后，单击“确定”。

c. 设置源端口和目的端口。

(6) 规则配置完成后，单击“确定”。

配置好的漏洞签名在漏洞列表中显示。

(7) 单击“提交”。

6.2.4 添加漏洞防护配置文件

漏洞防护配置文件只有在安全策略中引用后才会生效。

1. 前提条件

加载的防火墙 License 中入侵防御和入侵防御库升级功能已授权。

2. 添加漏洞防护配置文件

(1) 选择“对象配置 > 安全配置文件 > 漏洞防护”。

(2) 单击“添加”。

(3) 配置漏洞防护配置文件的名称和描述。

(4) 进行漏洞防护配置。

a. 选择防护分类。选中对应分类前的复选框，开启对该分类的漏洞防护。选中标题行“防护分类”前的复选框，开启对所有分类的漏洞防护。

b. 选择防护子分类。默认选中的防护分类下的所有子分类都是启用状态。可以通过取消选中某个子分类前的复选框，关闭对该子分类的漏洞防护。动作为默认。可以通过该区域框右上角的动作进行统一的动作修改。动作类型包括：

− 日志：记录日志并放行文件。

− 阻断：记录日志并阻断文件。

− 放行：放行文件，不记录日志。

− 重置：记录日志并断开与客户端连接。可以在安全规则库中对单个规则的动作进行编辑，单击“显示选中分类的规则”，查看所有启用的规则。可以在该页面设置例外项和查看规则详情。

(5) 配置例外 ID。单击“例外规则”页签，输入规则名称或 ID，找对对应规则，将该规则加入例外项。

(6) 设置开启漏洞防护的应用协议。展开高级配置，选中协议前的复选框，开启对该应用协议的漏洞防护。

(7) 配置完成后，单击“确定”。配置后的漏洞防护文件可以在漏洞防护列表中查看。单击操作中的编辑按钮，对不同漏洞配置不同动作或配置开启漏洞防护的应用协议。

3. 配置暴力破解

防火墙支持对 FTP 服务器、SMTP 邮件服务器、POP3 邮件服务器、IMAP 邮件服务器、MYSQL数据库和 ORACLE 数据库的暴力破解防护

(1) 在漏洞防护列表中找到一条要编辑的配置文件，单击其名称链接或操作下的“编辑”。

(2) 单击页面右下方的“显示选中分类的规则”。

(3) 在详细信息页面，选择搜索项为“名称”，输入“暴力破解”，单击或按回车进行搜索。防火墙支持暴力破解工具 Hydra-http、数据库暴力破解攻击、FTP 服务器暴力破解攻击、邮件服务器暴力破解攻击的防护。单击 ID 链接“80166”、“80167”和“80168”，可以对其中协议阈值进行修改。

(4) （可选）单击数据库暴力破解攻击的 ID“80166”，修改 MYSQL 或 ORACLE 的阈值和动作，配置完成后，单击“确定”。MYSQL 默认阈值为 2，单位为个/秒；ORACLE 默认阈值为 1，单位为个/秒。阈值的取值范围为1~6000 个/秒。默认动作为“阻断”，可以根据需要设置为“放行”、“日志”或“重置”。当每秒访问 MYSQL 或 ORACLE 输入错误密码的次数大于阈值，则认为是数据库密码暴力破解，则执行相应的处置动作。

(5) （可选）单击 FTP 服务器暴力破解攻击的 ID“80167”，修改 FTP 的阈值和动作，配置完成后，单击“确定”。FTP 默认阈值为 20，单位为个/秒，阈值的取值范围为 1~6000 个/秒。默认动作为“日志”，可以根据需要设置为“放行”、“阻断”或“重置”。当每秒访问 FTP 输入错误密码的次数大于阈值，则认为是 FTP 密码暴力破解，则执行相应的处置动作。

(6) （可选）单击邮件服务器暴力破解攻击的 ID“80168”，修改 SMTP、POP3 或 IMAP 的阈值和动作，配置完成后，单击“确定”。SMTP、POP3 和 IMAP 默认阈值为 20，单位为个/秒，阈值的取值范围为 1~6000 个/秒。默认动作为“日志”，可以根据需要设置为“放行”、“阻断”或“重置”。当每秒访问 SMTP、POP3、IMAP 服务器输入错误密码的次数大于阈值，则认为是邮件服务器密码暴力破解，则执行相应的处置动作。

(7) 修改完成后，单击“确定”。

6.2.5 添加防间谍软件配置文件

防间谍软件配置文件只有在安全策略中引用后才会生效。

1. 前提条件

加载的防火墙 License 中入侵防御和入侵防御库升级功能已授权。

2. 设置开启的防间谍软件类型

(1) 选择“对象配置 > 安全配置文件 > 防间谍软件”。

(2) 单击“添加”。

(3) 配置防间谍配置文件的参数。

a. 配置防间谍配置文件的名称和描述。

b. 设置是否开启“样本留存”。开启该功能后，则抓取命中防间谍软件规则的原始报文并保存在威胁日志中。仅带硬盘的设备支持。

c. 选择启用防间谍的间谍软件的类型和执行的动作。

漏洞的类型包括“木马后门”、“病毒蠕虫”、“僵尸网络”和“自定义签名”。其中除“自定义签名”外，其余的类型下的间谍软件都是通过 IPS 特征库导入的。请确保升级最新的 IPS 特征库，升级间谍软件类型下的间谍软件数目，更好的防间谍软件。所有间谍软件类型都执行默认动作或执行相同动作，通过类型列表的表头的动作进行设置。不同间谍软件类型分别设置不同的动作，通过每种漏洞类型对应的动作进行设置。

动作类型包括：

− 日志：记录日志并放行文件。

− 阻断：记录日志并阻断文件。

− 放行：放行文件，不记录日志。

− 重置：记录日志并断开与客户端连接。

d. 开启高级配置下的应用协议配置。展开“高级配置”，选中“应用协议”。

(4) 配置完成后，单击“确定”。

配置后的防间谍配置文件可以在防间谍软件配置文件列表中查看。单击操作中的“编辑”，对不同间谍软件配置不同动作或配置设置开启防间谍软件的应用。