防火墙常见指标配置及其含义解析
1. 源地址对象(Source Address)
- 含义:流量的来源IP地址或IP地址范围。
- 作用:定义哪些IP地址或网络段的流量可以被允许或拒绝。
- 示例:
- 单个IP:192.168.1.1
- IP范围:192.168.1.1-192.168.1.100
- CIDR格式:192.168.1.0/24
2. 目的地址对象(Destination Address)
- 含义
:流量的目标IP地址或IP地址范围。
- 作用
:定义流量可以访问哪些目标IP地址或网络段。
- 示例:
- 单个IP:10.0.0.1
- IP范围:10.0.0.1-10.0.0.50
- CIDR格式:10.0.0.0/8
3. 源区域对象(Source Zone)
- 含义:流量的来源区域,通常是网络中的一个逻辑分区(如内部网络、外部网络、DMZ等)。
- 作用:定义流量来自哪个网络区域。
- 示例:
- trust(信任区域,如内部网络)
- untrust(非信任区域,如外部网络)
- DMZ(隔离区,如对外提供服务的服务器区域)
4. 目的区域对象(Destination Zone)
- 含义:流量的目标区域,通常是网络中的一个逻辑分区。
- 作用:定义流量去往哪个网络区域。
- 示例:
- trust(信任区域)
- untrust(非信任区域)
- DMZ(隔离区)
5. 服务(Service)
- 含义:流量所使用的协议和端口号。
- 作用:定义允许或拒绝的协议(如TCP、UDP、ICMP等)和端口号。
- 示例:
- TCP/80(HTTP服务)
- TCP/443(HTTPS服务)
- UDP/53(DNS服务)
- ICMP(Ping操作)
6. 动作(Action)
- 含义:防火墙对匹配流量的处理动作。
- 作用:定义是否允许或拒绝流量。
- 常见值:
- permit(允许流量通过)
- deny(拒绝流量通过)
- drop(丢弃流量,不发送响应)
- reject(拒绝流量,并发送响应)
7. 状态(Status)
- 含义:策略的启用或禁用状态。
- 作用:定义策略是否生效。
- 常见值:
- enable(策略启用)
- disable(策略禁用)
8. 源安全域(Source Security Zone)
9. 目的安全域(Destination Security Zone)
10. 源MAC地址对象(Source MAC Address)
- 含义:流量的来源MAC地址。
- 作用:基于设备的MAC地址过滤流量。
- 示例:
- 00:1A:2B:3C:4D:5E
11. 目的MAC地址对象(Destination MAC Address)
- 含义:流量的目标MAC地址。
- 作用:基于设备的MAC地址过滤流量。
- 示例:
- 00:1A:2B:3C:4D:5F
12. 用户(User)
- 含义:流量的发起用户或用户组。
- 作用:基于用户身份过滤流量。
- 示例:
- user1
- group_admins
13. 应用(Application)
- 含义:流量所使用的应用程序或服务类型。
- 作用:基于应用程序类型过滤流量。
- 示例:
- HTTP
- FTP
- SSH
14. 时间对象(Time Object)
- 含义:策略生效的时间范围。
- 作用:定义策略在特定时间段内生效。
- 示例:
- 9:00-18:00(工作日工作时间)
- 00:00-23:59(全天生效)
15. VLAN(Virtual LAN)
- 含义:流量的VLAN标识。
- 作用:基于VLAN ID过滤流量。
- 示例:
- VLAN 10
- VLAN 20
16. 来自隧道(From Tunnel)
- 含义:流量是否来自VPN隧道或其他加密隧道。
- 作用:定义流量是否通过隧道传输。
- 示例:
- VPN_Tunnel_1
- IPSec_Tunnel
17. 目标隧道(To Tunnel)
- 含义:流量是否去往VPN隧道或其他加密隧道。
- 作用:定义流量是否通过隧道传输。
- 示例:
- VPN_Tunnel_2
- IPSec_Tunnel
18. 备注(Description)
- 含义:策略的描述信息。
- 作用:为策略添加注释,便于管理员理解策略的用途。
- 示例:
- 允许研发部门访问生产服务器
- 禁止外部访问数据库
