This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
策略
策略提供了允许、拒绝、拒绝或计数和继续特定流量流量的功能。随着 SD-WAN 网络的发展,将难以将这些策略单独应用到每个站点。若要解决此问题,可以使用防火墙策略模板创建防火墙筛选器组。防火墙策略模板可以应用于网络中的所有站点,也可以仅应用于特定站点。这些策略按设备前模板策略或设备后模板策略进行排序。网络范围的前设备和后设备模板策略均在全局级别进行配置。本地策略在 连接 下的站点级别配置,并仅应用于该特定站点。
设备前模板策略应用于任何本地站点策略。接下来应用本地站点策略,后面是设备后模板策略。目标是通过允许您应用全局策略,同时保持应用特定于站点的策略的灵活性,从而简化配置过程。
筛选策略评估顺序
-
预模板 — 从所有模板“PRE”部分编译的策略。
-
全局前 — 从全球“PRE”部分编译的策略。
-
本地 — 设备级策略。
-
本地自动生成 — 自动本地生成的策略。
-
后模板 — 从所有模板“POST”部分编译的策略。
-
后全局 — 从全局“POST”部分编译的策略。
政策定义-全局和本地(站点)
您可以在全局级别配置设备前和设备后模板策略。本地策略在设备的站点级别应用。
以上屏幕截图显示了将应用于全局 SD-WAN 网络的策略模板。要将模板应用到网络中的所有站点,请导航到全局 > 网络设置 > 全局策略模板, 然后选择特定策略。在站点级别,您可以添加更多策略模板,以及创建特定于站点的策略。
策略的特定可配置属性显示在下面的屏幕截图中,这些属性对于所有策略都是相同的。
策略属性
-
优先级 — 在所有已定义的策略中应用策略的顺序。优先级较低的策略在优先级较高的策略之前应用。
-
区域 — 流程具有源区域和目标区域。
- 来自区域 — 策略的源区域。
- 到区域 — 策略的目标区域。
-
操作 ― 要对匹配的流程执行的操作。
-
允许 — 允 许流量通过防火墙。
-
丢 弃 — 通过丢弃数据包来拒绝通过防火墙的流量。
-
拒绝 — 拒绝 通过防火墙的流量并发送特定于协议的响应。TCP 将发送重置,ICMP 将发送错误消息。
-
计数并继续 — 计算此流的数据包数和字节数,然后继续执行策略列表。
-
-
日志间隔 — 将与策略匹配的数据包数量记录到防火墙日志文件或 syslog 服务器(如果已配置)之间的时间(以秒为单位)。
-
日志开始 — 如果选择此选项,则会为新流程创建日志条目。
-
日志结束 — 在删除流程时记录流程的数据。
-
注意
默认的日志间隔值为 0 表示没有日志记录。
-
跟踪 — 允许防火墙跟踪流的状态,并在 “ 监视 ” > “ 防火墙 ” > “ 连接 ” 表中显示此信息。如果未跟踪流,状态将显示 NOT_TRACKED。请参阅下表,了解基于协议的状态跟踪。使用在站点级别在 防火墙 > 设置 > 高级 > 默认跟踪下定义的设置。
-
无跟踪 — 未启用流状态。
-
Track — 显示流的当前状态(与此策略匹配)。
-
-
匹配类型 — 选择以下匹配类型之一
-
IP 协议 — 如果选择了此匹配类型,请选择筛选器将与之匹配的 IP 协议。选项包括任何,TCP,UDP ICMP 等
-
应用程序 — 如果选择了此匹配类型,请指定用作此筛选器匹配条件的应用程序。
-
应用程序系 列 — 如果选择了此匹配类型,请选择用作此筛选器匹配条件的应用程序系列。
-
应用程序对象 — 如果选择了此匹配类型,请选择用作此筛选器匹配条件的应用程序系列。
-
有关应用程序、应用程序系列和应用程序对象的详细信 息,请参阅应用
-
DSCP — 允许用户在 DSCP 标记设置上进行匹配。
-
允许片段 — 允许与此过滤器策略匹配的 IP 片段。
注意
防火墙不会重新组装碎片框架。
-
另外反向 — 自动添加此筛选器策略的副本,同时源和目标设置已反转。
-
匹配已建立 — 将允许传出数据包连接的传入数据包匹配。
-
源服务类型 — 参考 SD-WAN 服务 — 本地(到设备)、虚拟路径、内部网、IPHost 或 Internet 是服务类型的示例。
-
IPHost 选项 -这是防火墙的新服务类型,用于 SD-WAN 应用程序生成的数据包。例如,从 SD-WAN 的 Web UI 运行 ping 会产生来自 SD-WAN 虚拟 IP 地址的数据包。为此 IP 地址创建策略需要用户选择 IPhost 选项。
-
源服务名称 — 与服务类型关联的服务的名称。例如,如果为源服务类型选择了虚拟路径,则这将是特定虚拟路径的名称。这并不总是必需的,取决于所选服务类型。
-
源 IP 地址 — 筛选器将用来匹配的典型 IP 地址和子网掩码。
-
源端口 — 特定应用程序将使用的源端口。
-
目标服务类型 -参考 SD-WAN 服务-本地(到设备)、虚拟路径、内部网、IPHost 或 Internet 是服务类型的示例。
-
目标服务名称 -与服务类型关联的服务的名称。这并不总是必需的,取决于所选服务类型。
-
目标 IP 地址 -筛选器将用来匹配的典型 IP 地址和子网掩码。
-
目标端口 — 特定应用程序将使用的目标端口(即 TCP 协议的 HTTP 目标端口 80)。
轨道选项提供了有关流程的更多详细信息。状态表中跟踪的状态信息如下所示。
轨道选项的状态表
只有几个状态是一致的:
-
已创建INIT- 连接,但初始数据包无效。
-
O_DENIED- 创建连接的数据包被过滤器策略拒绝。
-
R_DENIED- 来自响应程序的数据包被过滤器策略拒绝。
-
NOT_TARED- 不会有状态地跟踪连接,但在其他情况下允许连接。
-
已关闭- 连接已超时或以其他方式被协议关闭。
-
已删除- 连接正在删除过程中。DELETED 状态几乎永远不会被看到。
所有其他状态都是特定于协议的,并且需要启用状态跟踪。
TCP 可以报告以下状态:
-
SYN_SENT -看到第一条 TCP SYN 消息。
-
SYN_SENT2 -在两个方向上看到 SYN 消息,没有 SYN+ACK(又名同时打开)。
-
SYN_ACK_RCVD -已收到 SYN+ACK。
-
已建立- 收到第二个 ACK,连接已完全建立。
-
FIN_WATIT -看到第一条 FIN 消息。
-
CLOSE_WATIT -从两个方向看到 FIN 消息。
-
TIME_WATIT -在两个方向上看到的最后一个 ACK 连接现在已关闭,等待重新打开。
所有其他 IP 协议(尤其是 ICMP 和 UDP)都具有以下状态:
-
NEW -在一个方向上看到的数据包。
-
建立 -在两个方向上看到的数据包。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.