FortiGate安全策略说明

1.安全策略原理

　　1）为了对数据流进行统一控制，方便用户配置和管理，FGT设备引入了安全策略的概念。通过配置安全策略，防火墙能够对经过设备的数据流进行有效的控制和管理。

　　2）当防火墙收到数据报文时，把该报文的方向、源地址、目的地址、协议、端口等信息和用户配置的策略匹配，决定是否建立这条数据流，并且把这条流和匹配的策略关联起来，从而确定如何处理该流的后续报文，

　　　　实现允许、丢弃、加密和解密、认证、排定优先次序、调度、过滤以及监控数据流，决定哪些用户和数据能进出，以及它们进出的时间和地点。

　　3）在安全策略中还可以根据匹配结果，对符合规则的报文实行过滤动作(允许通过或丢弃)，简单地实现包过滤功能。

　　4）在没有配置任何安全策略的情况下，系统默认有一条全any禁止的策略， 对于经过设备的所有数据包，其缺省策略为禁止。

　　5）安全策略按从上到下顺序匹配的原则，只对通过设备的数据包进行处理， 对于到设备本身的数据包和设备本身发出的数据包不进行限制。

2.配置安全策略要点

　　安全策略的基本要素是匹配条件和动作。匹配条件包括数据流的方向、源地址、目的地址、服务和策略生效的时间范围。

　　其中，数据流的方向通过指定入接口/安全域和出接口/安全域来确定，源地址、目的地址、服务和时间范围都可以直接引用已定义的对象。

　　1）源接口/ 区：数据流的流入方向，可以指定某个接口，也可以是已定义的某个安全域，any表示所有口

　　2）源地址：数据流的源地址，可以引用已定义的某个地址对象或地址对象组，any表示源地址为任意。

　　3）目的接口/区：数据流的流出方向，可以指定某个接口，也可以是已定义的某个安全域，any表示所有接口。

　　4）目的地址：数据流的目的地址，可以引用已定义的地址对象或地址对象组，或者引用虚拟映射ip。

　　5）时间表：策略生效的时间，可以引用已配置的时间对象，always表示所有时间。

　　6）服务：数据流的服务属性，包括协议、源端口和目的端口，可以引用系统预定义服务、已定义的服务对象或服务对象组，any表示服务为任意。

　　7）动作：对符合匹配条件的数据流执行的动作，ACCEPT为允许，DENY为拒绝，IPSEC为ipsec加密，SSL-VPN为sslvpn加密。

　　8）记录允许流量：选中此复选框可以在防火墙策略中启用流量日志功能。

　　9）NAT:是否启用源NAT（SNAT）

　　10）启用基于用户的认证策略：是否开启用户上网认证策略

　　11）UTM:是否开启UTM相关应用防护功能

　　12）流量控制：选中此复选框可以在防火墙策略中启用流量控制功能，对策略中指定的流进行服务质量保证。详细配置参见"限速"章节。