防火墙对象是创建安全策略时需要的各对象,包括地址、服务和时间表,以控制策略接收或屏蔽的流量。地址,是指与飞塔防火墙设备所接收的数据包的源与目标地址匹配的地址设置。防火墙地址对象可以是定义单个设备或网络的 IPv4 或 IPv6地址。你也可以添加域名而不是数字式的地址,并使用地理寻址以设置来自特定国家的全部流量。这些强大的地址工具允许你根据任何安全策略需求定义地址。地址设置为全部(all)表示允许来自或到达任何 IP 地址的流量。
飞塔防火墙 设备中包含了可以添加到安全策略 中的预定义服务(services)。 例如,你流量只需要在安全策略中设置添加 HT TP 服务,便可以截取所有 HTTP 流量。预定义的服务包括基本的网络服务,如 HTTP、FTP 、TCP、SMTP 与更多特殊的设备服务,如 H323(用于 VoIP 与媒体),MMS(移动电话使用的媒体消息服务)等等。如果你的网络使用的服务未包括在飞塔防火墙设备预定义的服务列表中,你也可以使用自定义服务。安全策略中的服务至少包含一项服务。单个安全策略中可以添加多个服务,如果 你想策略允 许多个流量类 型。 预 定义服务中 的“ANY”表示接 受使用任何网络服务的流量。
防火墙时间表(schedules)是控制安全策略有效的时间。默认的设置是对安全策略的有效时间不做限制。你设置定义该选项从而配置安全策略的有效时间。你可以创建循环的时间表配置在设定的时间结束后重复进行,或者设置多长时间后重复有效(例如,设置在办公时间内有效,工作日内上午 9 点到下午 5 点时间范围内有效 )。你也可以创建一次性的时间设置,只生效一段时间(例如,2020年 9 月间的一个周)。防火墙对象还包括流量整形(traffic shapers),用于调整流量高峰与流量爆发,设定流量通过的优先级顺序。流量整形的选项非常广泛,允许你根据网络的需求来飞塔防火墙 设备中包含了可以添加到安全策略 中的预定义服务(services)。 例如,你流量只需要在安全策略中设置添加 HT TP 服务,便可以截取所有 HTTP 流量。预定义的服务包括基本的网络服务,如 HTTP、FTP 、TCP、SMTP 与更多特殊的设备服务,如 H323(用于 VoIP 与媒体),MMS(移动电话使用的媒体消息服务)等等。如果你的网络使用的服务未包括在飞塔防火墙设备预定义的服务列表中,你也可以使用自定义服务。安全策略中的服务至少包含一项服务。单个安全策略中可以添加多个服务,如果 你想策略允 许多个流量类 型。 预 定义服务中 的“ANY”表示接 受使用任何网络服务的流量。
定义流量通过的优先级,或在安全策略中自定义流量控制。
虚拟 IP(virtual IP)的防 火墙对象是指添加到安全策略中,用于执行各种形式的网络目标地址转换(D-NAT)的功能,包括目标 IP 地址与目标端口 转换与端口转发。最后一个防火墙对象是负载均衡(loading balancing),虚拟 IP 的扩展以达到将通过飞塔防火墙设备的流量分别负载到多个服务器的目的。飞塔防火墙 设备的负载均衡功能支持各种负载均衡时间表设置,真实服务器健康度监控,以及持续性监控与 SSL 加速。
本文由:飞塔UTM于(2013-11-13)发表了关于如何定义防火墙对象的文章 。如转载请注明出处:http://www.cdcy-mail.com
如果您对此感兴趣,可以通过以下联系方式与我们联系:
