|
FG防火墙提供基于状态检测技术的包过滤,能够根据数据包的地址、协议和端口进行访问控制。FG防火墙包过滤功能主要是通过制定过滤规则集,对数据包头源地址、目的地址和端口号、协议类型等标志进行检查,以判定是否允许通过。对于满足过滤规则的数据包,可以选择放过或者丢弃,不满足规则的包则被丢弃。包过滤规则采用按顺序匹配的方式,即首先匹配前面的规则,若匹配则不再向下执行,因此一定要注意规则设置的顺序问题。
|
|
|
防火墙的规则配置是面向网口设备的,每个网口上的规则是指:每个接口设备接收到的数据包要经过这些规则的过滤,此处的接口包括物理接口设备和VLAN设备。每条规则详细描述了源/目的地址、目的端口、协议、数据流向、状态检测和策略等信息。
|
|
|
策略包括4种,即禁止(DROP)、允许(ACCEPT)、用户认证(AUTH)和自动封禁(AUTO)。
|
|
|
|
|
.用户认证:对于分配了公网IP的内部用户,如果出于安全性考虑,管理员希望用户必须通过认证才能访问因特网,则需要在用户管理模块中选择一种认证方式(内置账号认证或第三方认证),并且在防火墙模块的相应接口设备上(一般是内部网对应的网口)添加一条用户认证规则。
|
|
|
.自动封禁:FG启动入侵检测功能后,需要在防火墙模块相应接口设备(包括物理网口、VLAN设备)上添加一条"自动封禁"规则,才能自动封禁入侵IP。FG的每个网口都可以自动封禁。一般情况下,要设置入侵检测功能的自动封禁,应选择物理网口进行监听。
|
|
|