访问控制

本功能可以实现系统的包过滤、NAT、应用代理、IP/MAC绑定等功能。

1.控制策略

控制策略是指按用户及其所属于的策略条件来控制其访问权限,即当匹配策略的所有控制条件时,允许或阻塞对网络的访问。控制策略提供记录日志功能及日志转发功能,当控制策略为允许时,可以设定访问策略功能。

控制策略的优先级为由上至下,默认为拦截所有数据。界面如下图所示:

1、添加规则:点击“添加规则”,弹出”添加规则”窗口,输入相关参数,新建访问控制。

  • 序号:访问控制规则的序号,序号越小排序越前。。
  • 接口:选择防护控制规则生效的接口。接口支持物理接口,VLAN虚拟接口。
  • 源IP:选择访问控制规则的来源IP地址或地址组。
  • 源端口:选择访问控制规则的来源端口或端口组。
  • 目的IP:选择访问控制规则的目的IP地址或地址组。
  • 目的端口:选择访问控制规则的目的端口或端口组。
  • 协议:选择访问控制规则应用的协议—ALL(所有协议)、TCP、UDP、TCP/UDP、ICMP。
  • 状态:选择访问控制规则的状态—开启、关闭。
  • 计划任务:访问控制规则生效的时间。

2.NAT

NAT配置用于将经过本设备的流量且符合条件的数据进行IP地址转换的功能。常用的情景主要是进行源NAT的配置,代理内网用户上网;进行目的NAT配置,用于外部用户访问内部服务器时,需要将目的地址转换为内网服务器地址,实现“端口转发”功能;进行静态地址配置,将所有外部的流量都重定向到内网地址。

SNAT

选择SNAT,进入源地址转换配置界面。

1、添加规则:点击“添加规则”,弹出”添加规则”窗口,输入相关参数,新建SNAT规则。

  • 序号:SNAT规则的序号,序号越小优先级越高。
  • 源接口:选择SNAT的来源接口。接口支持物理接口,VLAN虚拟接口。
  • 源IP:SNAT来源IP地址。可选项,留空则来源为所有IP地址。
  • 目的接口:选择SNAT的目的接口。接口支持物理接口,VLAN虚拟接口。
  • NAT至IP:源地址转换后的IP地址,此为必填项。
  • 状态:选择SNAT规则的状态—开启、关闭。
  • 备注:可选项。

2、删除规则:选择策略后,点击“删除规则”可以删除所选择的SNAT规则。
3、应用NAT策略:点击“应用NAT策略”,使SNAT列表中的规则生效。
4、编辑:点击“编辑”,对当前NAT规则进行编辑。

DNAT

选择DNAT,进入目的地址转换配置界面。

1、添加规则:点击“添加规则”,弹出”添加规则”窗口,输入相关参数,新建DNAT规则。

  • 序号:DNAT规则的序号,序号越小优先级越高。
  • IP:输入DNAT需要转换的来源IP地址。
  • 端口:输入DNAT需要转换的来源IP地址的端口号。
  • 协议:选择DNAT的协议—ALL(所有协议)、TCP、UDP、TCP/UDP、ICMP。
  • NAT至IP:目的地址转换后的IP地址。
  • NAT至端口:目的地址转换后的IP地址的端口号。
  • 状态:选择DNAT规则的状态—开启、关闭。
  • 备注:可选项

2、删除规则:选择策略后,点击“删除规则”可以删除所选择的DNAT规则。
3、应用NAT策略:点击“应用NAT策略”,使DNAT列表中的规则生效。
4、编辑:点击“编辑”,对当前DNAT规则进行编辑。

3.应用代理

本功能可以配置根据源IP、目的IP、服务类型、应用协议等参数对信息流进行过滤。

WEB过滤

通过本功能模块可以实现:
1) 能够阻断对指定URL地址的访问。
2) 能够根据关键词对网页内容进行检查并阻断访问行为。

选择Web过滤,进入Web过滤配置界面。
1、添加规则:点击“添加规则”,弹出”添加规则”窗口,输入相关参数,新建Web过滤规则。

  • 源IP:选择阻断Web访问的来源IP地址或地址组。不填写为任意IP。
  • 目的IP:选择阻断Web访问的目的IP地址或地址组。不填写为任意IP。
  • 域名:输入需要阻断访问的目的Web站点。格式为:www.test.com。
  • URL:输入需要阻断访问的目的URL后缀。格式为:test.asp?id=100。
  • 页面内容:输入需要匹配的关键词对Web页面进行阻断访问。
  • 状态:选择Web过滤规则的状态—开启、关闭。
  • 备注:可选项。

2、删除规则:选择策略后,点击“删除规则”可以删除所选择的Web过滤规则。
3、应用规则:点击“应用规则”,使Web过滤列表中的规则生效。
4、编辑:点击“编辑”,对当前Web过滤规则进行编辑。

FTP过滤

通过本功能模块可以实现能够根据文件类型阻断对FTP服务器的文件上传/下载行为。

选择FTP过滤,进入FTP过滤配置界面。
1、添加规则:点击“添加规则”,弹出”添加规则”窗口,输入相关参数,新建FTP过滤规则。

  • 源IP:选择阻断FTP上传/下载的来源IP地址或地址组。不填写为任意IP。
  • 目的IP:选择阻断FTP上传/下载的目的IP地址或地址组。不填写为任意IP。
  • 上传文件名:输入需要阻断上传的文件后缀名或文件名。格式为:.exe或完整文件名。
  • 下载文件名:输入需要阻断下载的文件后缀名或文件名。格式为:.exe或完整文件名。
  • 状态:选择FTP过滤规则的状态—开启、关闭。
  • 备注:可选项。

2、删除规则:选择策略后,点击“删除规则”可以删除所选择的FTP过滤规则。
3、应用规则:点击“应用规则”,使FTP过滤列表中的规则生效。
4、编辑:点击“编辑”,对当前Ftp过滤规则进行编辑。

Email过滤

通过本功能模块可以实现:
1)能够根据邮件地址阻断发送、接收邮件的行为。
2)能够根据关键词对邮件主题和正文进行检查并阻断发送邮件的行为。
3)能够根据文件类型对邮件进行检查并阻断发送邮件的行为。
选择Email过滤,进入Email过滤配置界面。

1、添加规则:点击“添加规则”,弹出”添加规则”窗口,输入相关参数,新建Email过滤规则。

  • 源IP:选择阻断邮件接收/发送的来源IP地址或地址组。不填写为任意IP。
  • 目的IP:选择阻断邮件接收/发送的目的IP地址或地址组。不填写为任意IP。
  • 发件人:输入需要阻断邮件的发送人邮件地址。不填写为任意邮件发送人。
  • 收件人:输入需要阻断邮件的接收人邮件地址。不填写为任意邮件接收人。
  • 标题:输入需要匹配的邮件标题关键词对邮件进行阻断。
  • 附件:输入需要匹配的文件后缀名或文件名对邮件进行阻断。格式为:.exe或完整文件名。
  • 状态:选择Email过滤规则的状态—开启、关闭。
  • 备注:可选项。

2、删除规则:选择策略后,点击“删除规则”可以删除所选择的Email过滤规则。
3、应用规则:点击“应用规则”,使Email过滤列表中的规则生效。
4、编辑:点击“编辑”,对当前Email过滤规则进行编辑。

4.流量控制

通过本功能模块可以实现:限制上行或者下行带宽

1、添加规则:点击“添加规则”,弹出”添加规则”窗口,输入相关参数,新建流量控制规则。

优先级:1-100,1代表最高优先级,以此类推。

  • 源IP:选择要流量控制的源IP地址,或地址组,可以自行添加IP或者地址组。
  • 源端口:选择流量控制的源IP端口,可以自行添加端口。
  • 目的IP:选择访问目的IP地址或地址组。
  • 目的端口:选择访问目的IP的端口,可以自行添加端口。
  • 协议:选择TCP、UDP、TCP/UDP、ICMP等协议。
  • 上传带宽(Mbps):可以自行设置上传速度,例如输入100,上传带宽为100Mbps。
  • 下载带宽(Mbps):可以自行设置下载速度,例如输入100,下载带宽为100Mbps。
  • 计划任务:选择循环计划任务,或者单次计划任务。
  • 状态: 开启或停用。
  • 备注:可选项。

2、删除规则:选择策略后,点击“删除规则”可以删除所选择的流量控制规则。
3、应用规则:点击“应用规则”,使流量控制列表中的规则生效。
4、编辑:点击编辑“”,对当前流量控制规则进行编辑。

5.连接管理

对当前流量经过FreeVM下的IP进行管理。

6.IP-MAC绑定

通过本功能模块可以实现IP地址与MAC地址进行地址绑定,拒绝未经绑定的主机访问网络。

1、添加绑定规则:点击“添加IP-MAC绑定”,弹出”添加”窗口,输入相关参数,新建规则。

  • IP地址:输入需要绑定的IP地址。
  • MAC地址:输入与绑定IP地址相对应的MAC地址
  • 状态:选择绑定则的状态—开启、关闭。
  • 备注:可选项。

2、删除规则:选择策略后,点击“删除配置”可以删除所选择的绑定规则。
3、应用规则:点击“应用配置”,使绑定列表中的规则生效。
4、编辑:点击“编辑”,对当前绑定规则进行编辑。

7.地址组

通过本功能模块可以根据需要定义一些地址对象。在地址对象中建立的地址组可以被防火墙的访问控制、NAT、应用代理等功能模块用做IP参数调用。

选择地址组菜单,进入地址组配置界面。

1、添加地址组:点击“添加地址组”,弹出窗口,输入相关参数,新建一个地址组。

  • 名称:输入地址组的自定义名称。
  • 地址组:输入IP地址或地址段。格式为:10.1.1.1或192.168.1.10-192.168.1.255,多个地址或地址段用“,”隔开。

2、删除:选择策略后,点击“删除”可以删除当前地址组。
3、编辑:点击“编辑”,对当前地址组进行编辑。

8.端口组

通过本功能模块可以根据需要定义一些端口对象。在端口对象中建立的端口可以被防火墙的访问控制、NAT等功能模块用做端口参数调用。

选择端口组菜单,进入端口组配置界面。


  • 名称:输入端口组的自定义名称。
  • 端口组:输入端口或端口起止段。格式为:80或81-85,多个端口或端口段用“,”隔开。

2、删除:点击“删除”可以删除当前端口组。
3、编辑:点击“编辑”,对当前端口组进行编辑。

9.计划任务

通过本功能模块可以根据需要定义计划任务。建立的计划可以被防火墙策略中的“计划任务”参数调用。

选择计划任务菜单,进入计划任务配置界面。

1、添加循环计划任务:点击“循环计划任务”,弹出窗口,输入相关参数,新建循环计划任务。

  • 名称:输入计划任务自定义名称。
  • 开始时间:输入计划任务的开始时间,24小时制。格式为:XX:XX:XX。
  • 停止时间:输入计划任务的停止时间,24小时制。格式为:XX:XX:XX。
  • 日:输入计划任务每月的几号执行。留空为每月的每天。格式为:1,3-10。多个日期“,”隔开。
  • 星期:勾选每周的周几执行计划任务。

2、添加单次计划任务:点击“单次计划任务”,弹出窗口,输入相关参数,新建单次计划任务,即该计划任务只执行一次。

  • 名称:输入计划任务自定义名称。
  • 开始日期时间:输入计划任务的开始时间,年月日+24小时制。格式为:XXXX-XX-XX XX:XX:XX。
  • 停止时间:输入计划任务的停止时间, 年月日+24小时制。格式为:XXXX-XX-XX XX:XX:XX。

3、删除:点击“删除”可以删除当前计划任务。

作者:admin  创建时间:2020-09-12 17:11
最后编辑:admin  更新时间:2023-11-09 15:03
1、添加地址组:点击“添加地址组”,弹出窗口,输入相关参数,新建一个端口组。