對這文章發表回應
發表限制: 非會員 可以發表
發表者: 冷日 發表時間: 2012/11/5 5:09:36
SSG5三十天就上手-Day 8 SSG5 Policies
Policies 您可以將他想成 iptables
在 SSG5 中,預設會將跨 security zone 的封包(interzone traffic) deny,bind 在同一個 zone 的 interface 的封包(intrazone traffic)預設為 allow
如果您需要對以上預設行為進行調整,那您就必須透過
Policies來進行。
Policies 由下列基本元素所組成:
Direction:這是指封包的流向從 source zone 流向 destination zone
Source Address: 這是封包起始的位址
Destination Address:這是封包要送到的位址
Service:這是封包的服務種類,如 DNS、http 等等
Action:這是當收到封包滿足此 Polices 時要進行的動作。
舉例來說:假設您要設定任何位址都可以由 Trust zone 到 Untrust Zone 中的 10.0.0.1 的 FTP Server,則您的基本policies元素如下:
Three Types of Policies
您可以透過下列三種型態的Policies 來控制您的封包:
Interzone Policies — 控制一般 Zone 與 zone 之間的封包。
Intrazone Policies — 控制同一 Zone 之間的封包
Global Policies — 套用到所有 zone
原文出處:Donald IT Share: SSG5三十天就上手-Day 8 SSG5 Policies
Policies 您可以將他想成 iptables
在 SSG5 中,預設會將跨 security zone 的封包(interzone traffic) deny,bind 在同一個 zone 的 interface 的封包(intrazone traffic)預設為 allow
如果您需要對以上預設行為進行調整,那您就必須透過
Policies來進行。
Policies 由下列基本元素所組成:
Direction:這是指封包的流向從 source zone 流向 destination zone
Source Address: 這是封包起始的位址
Destination Address:這是封包要送到的位址
Service:這是封包的服務種類,如 DNS、http 等等
Action:這是當收到封包滿足此 Polices 時要進行的動作。
舉例來說:假設您要設定任何位址都可以由 Trust zone 到 Untrust Zone 中的 10.0.0.1 的 FTP Server,則您的基本policies元素如下:
Direction: 從 Trust 到 Untrust
Source Address: any
Destination Address: 10.0.0.1
Service: ftp (File Transfer Protocol)
Action: permit
Three Types of Policies
您可以透過下列三種型態的Policies 來控制您的封包:
Interzone Policies — 控制一般 Zone 與 zone 之間的封包。
Intrazone Policies — 控制同一 Zone 之間的封包
Global Policies — 套用到所有 zone
原文出處:Donald IT Share: SSG5三十天就上手-Day 8 SSG5 Policies