策略 > 关于策略

关于策略

组织的安全策略是保护您的计算机网络及其传输的信息的一组定义。 XTM 设备会拒绝未明确允许的所有数据包。 将策略添加到您的 XTM 设备配置文件时,即添加了根据一些因素告诉 XTM 设备允许或拒绝流量的一组规则,这些因素包括数据包的源和目标,或者数据包所使用的 TCP/IP 端口或协议。

举个策略使用方法的例子:假定公司网络管理员希望远程登录 XTM 设备保护的 Web 服务器。 网络管理员可通过远程桌面连接对该 Web 服务器进行管理。 同时,网络管理员希望确保其他网络用户无法使用远程桌面。 要创建此设置,网络管理员会添加一个策略,仅允许从其自身台式计算机的 IP 地址到 Web 服务器的 IP 地址的 RDP 连接。

策略还会为 XTM 设备提供有关如何处理数据包的更多说明。 例如,您可以定义应用于流量的日志记录和通知设置,或使用 NAT(网络地址转换)更改源 IP 地址和网络流量的端口。

数据包筛选器和代理策略

XTM 设备使用以下两类策略来筛选网络流量:数据包筛选器代理。 数据包筛选器会检查每个数据包的 IP 和 TCP/UDP 头。 如果数据包头信息合法,则 XTM 设备会允许该数据包。 否则,XTM 设备将丢弃该数据包。

代理会检查每个数据包的头信息以及内容,以确保连接安全。 这也称为深度数据包检测。 如果数据包头信息合法且数据包内容被认为不存在威胁,则 XTM 设备会允许该数据包。 否则,XTM 设备将丢弃该数据包。

将策略添加到 XTM 设备

XTM 设备包含很多预配置的数据包筛选器和代理,可供您添加到配置。 例如,如果您想要所有 Telnet 流量的数据包筛选器,则可以添加可针对您的网络配置进行修改的预定义 Telnet 策略。 您还创建自定义策略,来设置端口、协议和其他参数。

在使用 Quick Setup Wizard 配置 XTM 设备时,该向导会添加下列一些数据包筛选器: 传出 (TCP-UDP)、FTP、ping 以及最多两个 WatchGuard 管理策略。 如果 XTM 设备要检查更多的软件应用程序和网络流量,则必须:

建议您在配置 XTM 设备时设置传出访问的限制。

在所有文档中,我们将数据包筛选器和代理统称为策略。 除非另有说明,否则有关策略的信息均涉及数据包筛选器以及代理。

另请参阅

关于“防火墙策略”页面

关于策略优先级

在配置中添加策略

提供反馈  •   获得支持  •   全部产品文件  •   知识库