组织的安全策略是保护您的计算机网络及其传输的信息的一组定义。 XTM 设备会拒绝未明确允许的所有数据包。 将策略添加到您的 XTM 设备配置文件时,即添加了根据一些因素告诉 XTM 设备允许或拒绝流量的一组规则,这些因素包括数据包的源和目标,或者数据包所使用的 TCP/IP 端口或协议。
举个策略使用方法的例子:假定公司网络管理员希望远程登录 XTM 设备保护的 Web 服务器。 网络管理员可通过远程桌面连接对该 Web 服务器进行管理。 同时,网络管理员希望确保其他网络用户无法使用远程桌面。 要创建此设置,网络管理员会添加一个策略,仅允许从其自身台式计算机的 IP 地址到 Web 服务器的 IP 地址的 RDP 连接。
策略还会为 XTM 设备提供有关如何处理数据包的更多说明。 例如,您可以定义应用于流量的日志记录和通知设置,或使用 NAT(网络地址转换)更改源 IP 地址和网络流量的端口。
XTM 设备使用以下两类策略来筛选网络流量:数据包筛选器和代理。 数据包筛选器会检查每个数据包的 IP 和 TCP/UDP 头。 如果数据包头信息合法,则 XTM 设备会允许该数据包。 否则,XTM 设备将丢弃该数据包。
代理会检查每个数据包的头信息以及内容,以确保连接安全。 这也称为深度数据包检测。 如果数据包头信息合法且数据包内容被认为不存在威胁,则 XTM 设备会允许该数据包。 否则,XTM 设备将丢弃该数据包。
XTM 设备包含很多预配置的数据包筛选器和代理,可供您添加到配置。 例如,如果您想要所有 Telnet 流量的数据包筛选器,则可以添加可针对您的网络配置进行修改的预定义 Telnet 策略。 您还创建自定义策略,来设置端口、协议和其他参数。
在使用 Quick Setup Wizard 配置 XTM 设备时,该向导会添加下列一些数据包筛选器: 传出 (TCP-UDP)、FTP、ping 以及最多两个 WatchGuard 管理策略。 如果 XTM 设备要检查更多的软件应用程序和网络流量,则必须:
建议您在配置 XTM 设备时设置传出访问的限制。
在所有文档中,我们将数据包筛选器和代理统称为策略。 除非另有说明,否则有关策略的信息均涉及数据包筛选器以及代理。