帮助中心Appearance
3.3.6防火墙
【说明】:有两个功能——本地策略和域间规则。
3.3.6.1本地策略
【说明】:用于配置盒子接收数据时的INPUT链策略和发送数据时的OUTPUT链策略。
- 新增本地策略
- 调整策略优先级
- 启停策略
- 编辑策略
- 删除策略
新增本地策略
【说明】:用于新增本地策略。
安全域
- INPUT:配置盒子本地接收数据的规则。需填写源ip和端口。
- OUTPUT:配置盒子本地发送数据的规则。需填写目的ip和端口。
协议
- all :tcp、udp
- tcp(默认值)
- udp
- icmp
**检测状态:**对添加的状态执行动作
- NEW :建立连接时第一次握手的状态。
- ESTABLISHED:建立连接时第二次握手及之后的状态。
- RELATED:被动产生的数据包的状态,依赖于一个ESTABLISHED的连接。
- INVALID:数据包无法被识别属于哪个链接或无状态。
- UNTRACKED:报文未被追踪,无法找到相关链接。
动作
- ACCEPT :允许数据包通过
- DROP:直接丢弃数据包,不提供回应信息。发送方需要等待超时结果。
- REJECT:拒绝数据包通过,并回应发送端拒绝信息。
源地址:本地发送使用的ip,默认any,即0.0.0.0/0。
**源端口:**本地发送使用的端口,默认0-65535的任意端口。
**目的地址:**本地接收使用的ip,默认any,即0.0.0.0/0。
目的端口:本地接收使用的端口,默认0-65535的任意端口。
【操作】:点击<新增>,填写配置信息,填写后,点击<确定>按钮。新增成功后,状态默认为启用。
调整策略优先级
【说明】:INPUT/OUTPUT链内根据规则ID依次进行匹配过滤,若符合到条件的按规则即执行动作,后续规则不再执行。
【操作】:点击<向上>或<向下>按钮调整规则优先级。
启停策略
【说明】:单条规则可设置启用/禁用状态,禁用状态下将跳过该条规则的匹配。
【操作】:单击启停开关,即可进行状态切换。
编辑策略
【说明】:单条规则可进行修改操作。安全域不可修改,其余均可修改。
【操作】:单击编辑按钮,修改策略内容,点击<确定>即可保存修改。
删除策略
【说明】:单条规则可进行删除。
【操作】:点击【删除】按钮,在提示框中点击<确定>即可。
3.3.6.2域间规则
【说明】:用于配置盒子在不同安全域间作转发功能(FORWARD)时的过滤规则。
- 创建域间规则
- 调整规则优先级
- 启停域间规则
- 编辑域间规则
- 删除域间规则
创建域间规则
【说明】:用于新增域间规则。
安全域
- WAN-LAN:默认策略为DROP。应添加白名单对象。
- LAN-WAN:默认策略为ACCEPT。应添加黑名单对象。
- WAN-DMZ:默认策略ACCEPT。应添加黑名单。
- DMZ-WAN:默认策略ACCEPT。应添加黑名单。
- LAN-DMZ:默认策略ACCEPT。应添加黑名单。
- DMZ-LAN:默认策略为DROP。应添加白名单。
**源地址:**默认any,即域内任意地址。
**源MAC地址:**选填。
**并发数量:**单位时间(s)内最多能转发的数据包量。
**目的地址:**目的ip。默认any。
协议: tcp(默认)、udp、icmp、all
**源端口:**默认0-65535的任意端口。
**目的端口:**默认0-65535的任意端口。
动作
- ACCEPT :允许数据包通过
- DROP:直接丢弃数据包,且不回应。发送端需要等到超时才知道结果。
- REJECT:拒绝数据包通过,并回应发送端拒绝信息。
检测状态
- NEW :建立连接时第一次握手的状态。
- ESTABLISHED:建立连接时第二次握手及之后的状态。
- RELATED:被动产生的数据包的状态,依赖于一个ESTABLISHED的连接。
- INVALID:数据包无法被识别属于哪个链接或无状态。
- UNTRACKED:报文未被追踪,无法找到相关链接。
【操作】:点击【创建】按钮,填写配置信息,填写完,点击<确定>。创建成功后,系统会默认为启用状态。
调整规则优先级
【说明】:用于调整执行先后顺序。
【操作】:点击<向上>或<向下>按钮调整。
启停控制
【说明】:用于置启用/禁用状态,禁用状态下将跳过该条规则的匹配。
【操作】:单击启停开关,即可进行状态切换。
编辑域间规则
【说明】:单条规则可进行修改操作。安全域不可修改,其余均可修改。
【操作】:单击编辑按钮,修改域间规则内容,点击<确定>即可保存修改。
删除域间规则
【说明】:单条规则可进行删除。
【操作】:点击【删除】按钮,在提示框中点击<确定>即可。
