配置飞塔防火墙设备允许网络中的用户访问互联网的同时阻断互联网中的流量访问被保护的网络,这实现起来非常容易。所有的这些只需一条安全策略,配置允许从内网连接到互联网。只要不配置互联网到内部网络的访问策略,内部网络就得以保护。
当一个用户连接到互联网时,他们期望得到一个回应 (这有如,当你连 接访问一个网站时,希望看到该网站的网页 )。相同的安 全策略允许你连接到互联网同时也允许你所连接的服务器对你的访问进行回复。实际上,单条策略允许双向的流量,但是流入方向的流量仅当回应你的请求时才被允许。虽然来自于互联网的不良内容进入内网的风险几乎没有,但是内网中的用户会连接到互联网并从此处下载数据。这些下载的数据中某些时候会包含不良的信息内容,如病毒。 此病毒 也从互联网进入到了内网。保护内网避免这种问题的发生,安全策略是配置使飞塔防火墙设备功能生效的手段。例如,用户可能在进行网络浏览或获取邮件时下载了病毒信息。你可以通过在安全策略中添加病毒扫描而避免这种情况的发生。互联网与内网之间所有的双向流量都可以通过安全策略来控制,包括对流量启用病毒扫描。安全策略配置的优点是,你可以直接对被允许通过的流量直接启用安全功能。 这也意味着,你可以在每条安全策略中应用定制的安全功能,针对通过飞塔防火墙设备的每一种类型的流量。 安全功能是通过 UTM 选项来实施的。你可以创建任意多条选项在安全策略中混合使用。
例如,你可以在安全策略中只启用网页过滤,允许被保护的内网中的用户访问互联网的网站。如果你配置了独立的安全策略允许内网中的用户下载与发送电子邮件,你可以对这些流量应用病毒扫描,确定用户不能下载包含病毒的附件。另外,你可以对邮件流量应用数据防泄漏,防止用户发送机密性邮件。所有的这些安全功能都可以通过创建安全策略来实施。或者,你已经创建了安全策略控制流量模式,你可以根据需要编辑或更改这些安全策略。
本文由:飞塔UTM于(2013-11-13)发表了关于防火墙安全策略的设置及思路的文章 。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
