要配置策略的访问规则,请选择“策略配置”对话框中的“策略”选项卡。
“连接被”下拉列表用于定义允许或拒绝匹配策略中规则的流量。 要配置如何处理流量,请选择下列设置之一:
允许
XTM 设备允许使用此策略的流量(如果能够匹配此策略中设置的规则)。 可以将策略配置为当网络流量匹配此策略时创建日志消息。
拒绝
XTM 设备会拒绝匹配此策略中规则的所有流量,并且不会向发送流量的设备发送通知。 可以将策略配置为当计算机尝试使用此策略时创建日志消息。 如果计算机或网络尝试连接此策略,此策略还能够自动将它们添加到“阻止的站点”列表。
有关详细信息,请参阅使用策略设置临时阻止站点。
拒绝(发送重置)
XTM 设备会拒绝匹配此策略中规则的所有流量。 可以将策略配置为当计算机尝试使用此策略时创建日志消息。 如果计算机或网络尝试连接此策略,此策略还能够自动将它们添加到“阻止的站点”列表
有关详细信息,请参阅使用策略设置临时阻止站点。
使用此选项,XTM 设备会发送数据包来告知发送网络流量的设备会话被拒绝且连接被关闭。 或者,也可以设置返回其他错误的策略,告知设备无法访问相应端口、协议、网络或主机。 建议您小心使用这些选项,以确保您的网络能够与其他网络共同正常运行。
“策略”选项卡还包括:
例如,您可以配置一个 ping 数据包筛选器以允许来自外部网络中所有计算机的 ping 流量发送到可选网络中的 Web 服务器。 但是,当您打开目标网络以通过策略控制的端口进行连接时,会导致该网络容易受到攻击。 请务必小心配置您的策略,以避免受到攻击。
要将成员添加到您的访问规则,请执行以下操作:
列表包含您可以添加到“自”或“至”列表的成员。 成员可以是别名、用户、组、IP 地址或 IP 地址范围。
源和目标可以是主机 IP 地址、主机范围、主机名、网络地址、用户名、别名、VPN 隧道或这些对象的任意组合。
有关“自”和“至”列表中所显示别名的详细信息,请参阅关于别名。
有关如何创建新的别名或编辑用户定义的别名的详细信息,请参阅创建 别名。