H3C SecPath ACG1000系列应用控制网关 Web配置指导(E6401 E6451)-6W112

1 安全策略

安全策略对通过设备的源接口、目的接口、源IP、目的IP、服务、用户以及应用七元组进行访问控制。

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”，进入IPv4策略显示界面，如图1-1所示。

图1-1 IPv4策略显示界面

IPv4策略的含义如表1-1所示：

表1-1 IPv4显示信息描述表

标题项	说明
状态	策略的状态： · 表示策略启用 · 表示策略禁用
ID	策略的ID
源接口	匹配安全策略的源接口
目的接口	匹配安全策略的目的接口
源地址	匹配安全策略的源地址
目的地址	匹配安全策略的目的地址
服务	匹配安全策略匹配的服务对象
应用	匹配安全策略匹配的应用对象
用户	匹配安全策略的用户对象
匹配次数	匹配安全策略的次数
应用安全	如果显示图标，表示已经匹配了应用审计或URL审计规则
时间	匹配安全策略匹配的时间对象
日志	安全策略是否记录日志
老化时间	基于策略的老化时间，缺省情况下，老化时间为0，表示使用各个协议默认的老化时间
操作	可对该策略进行的操作，包括修改和删除

单击<新建>按钮，进入安全策略配置页面，如图1-2所示。

图1-2 IPv4策略配置界面

IPv4策略详细配置说明，如表1-2所示。

表1-2 IPv4策略详细配置

标题项	说明
动作	策略的动作是： · 审计，对匹配匹配条件的会话进行应用审计 · 免审计，对匹配匹配条件的会话免审计 · 拒绝，阻断命中匹配条件的会话
老化时间	基于策略的老化时间配置，缺省情况下，默认值为0，表示使用各个协议默认的老化时间
描述	该策略的描述信息
启用	策略启用和禁用，勾选表示开启策略，不勾选表示禁用策略
用户	匹配安全策略的用户对象
源接口/域	安全策略指定的源接口
目的接口/域	安全策略指定的目的接口
源地址	匹配安全策略的源地址
目的地址	匹配安全策略的目的地址
时间	安全策略匹配的时间对象
服务	安全策略匹配的服务对象
应用	安全策略匹配的应用对象

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”，单击<优先级>按钮进入安全策略优先级配置页面，如图1-3所示。

安全策略优先级详细配置说明，如表1-3所示。

标题项	说明
被移动的策略ID	被移动的策略索引
目标位置	移动后的位置： · 策略最前指移动到所有策略的最前面 · 策略ID之前指移动到某条固定的策略之前 · 策略ID之后指移动到某条固定的策略后面 · 策略最后指移动到所有策略的后面
目标位置策略ID	参考策略索引

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”，进入安全策略显示页面，如图1-4所示。勾选要启用或者禁用的安全策略，单击<启用>按钮或<禁用>按钮可以启动和禁用该安全策略。

图1-4 IPv4策略启用和禁用

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”，进入安全策略显示页面，如图1-5所示。点击<搜索>，填写过滤条件可以搜寻出符合该过滤条件的安全策略。

图1-5 IPv4策略搜索

安全策略搜索配置详细说明，如表1-3所示。

表1-4 安全策略搜索详细配置

标题项	说明
ID	被搜索的策略索引
源接口/域	策略所选择的源接口
源地址	策略所配置包含该地址的地址对象（可基于地址对象或IP地址搜寻）
用户	策略所选择的用户
目的接口/域	策略所选择的目的接口
目的地址	策略所配置包含该地址的地址对象（可基于地址对象或IP地址搜寻）
应用	策略所选择的应用
服务	策略所选择的服务
描述	策略所对应的描述信息