策略（Policy）介绍

策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（Policy Rule）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。策略分为以下两种：

♦ 域间策略：域间策略对安全域间的流量进行控制。可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量。
♦ 域内策略：安全域内策略对绑定到同一安全域的接口间流量进行控制。源地址和目的地址都在同一安全域中，但是通过安全网关的不同接口到达。

在防火墙产品中策略的配置是重中之重，一台再好的设备如果设置不当，那也是形同虚设。

策略规则的基本元素

策略规则允许或者拒绝从一个安全域到另一个安全域的流量。流量的类型、流量的源地址与目标地址以及行为构成策略规则的基本元素。

♦ Direction - 两个安全域之间的流量的方向，指从源安全域到目标安全域。
♦ Source Address - 流量的源地址。
♦ Destination Address – 流量的目标地址。
♦ Service – 流量的服务类型。
♦ Action – 安全设备在遇到指定类型流量时所做的行为， 包括允许（Permit）、拒绝（Deny）、隧道（Tunnel）、是否来自隧道（Fromtunnel）以及Web 认证五个行为。

示例：

♦ Direction – 从trust 域到untrust 域。
♦ Source Address – Any，即任意地址。它是地址簿中的一个默认地址。
♦ Destination Address – Any，即任意地址。它是地址簿中的默认地址。
♦ Service – ICMP。
♦ Action – 允许（Permit），即安全设备允许这种流量穿过安全网关。

定义策略规则

一般来讲，策略规则分为两部分：过滤条件和行为。安全域间流量的源地址、目的地址、服务类型以及角色构成策略规则的过滤条件。策略规则都有其独有的ID 号。策略规则ID 会在定义规则时自动生成，同时用户也可以按自己的需求为策略规则指定ID。从源安全域到目标安全域之间的所有策略规则有特定的排列顺序。在流量进入系统时，系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。

不同SA 系列安全网关平台支持的全局最大规则数不同。不同SA 系列安全网关平台支持的最大域间规则数不同。

与Netscreen相比，hilltone的策略增加了标签功能，包括Profile及QoS 标签。

Profile 介绍

通过安全策略与Profile 相结合，能够使安全网关完成细粒度的应用层安全策略控制。Profile 针对不同的应用定义不同的操作，将复杂控制信息简单化，从而简化安全网关配置。Profile 必须添加到Profile 组中才可以被策略规则引用，并且只有被策略规则引用的Profile 组才能够在安全网关的配置中起作用。StoneOS 支持两类Profile， 分别是IM 和HTTP。每一类Profile 可以针对具体应用分别配置不同的控制动作。

QoS 标签

SA 系列安全网关的策略规则支持QoS 标签功能。用户可以为策略中允许通过的流量添加QoS 标签。

策略规则的日志管理

用户可以根据需要，通过系统日志信息记录流量对策略规则的匹配情况：

♦ 对于permit 类型的策略规则，可以记录两种情况，分别是符合策略规则的流量建立会话时生成日志信息和结束会话时生成日志信息。
♦ 对于deny 类型的策略规则，可以记录的情况为：符合策略规则的流量被deny 时生成日志信息。

使用该功能前，必须保证系统的流量日志功能是开启的

策略规则的生效

 默认情况下，配置的策略规则会即时生效，而当为策略规则配置时间表功能后，策略规则就只在时间表所指定的时间内生效。用户最多可以为一条策略规则配置8个时间表，策略规则的生效时间为所有被配置到该策略规则的时间表的时间的总和。

修改规则排列顺序

每一条策略规则都有唯一一个ID 号。流量进入安全网关时，安全网关对策略规则进行顺序查找，然后按照查找到的相匹配的第一条规则对流量进行处理。但是，策略规则ID 的大小顺序并不是规则查找时的匹配顺序。使用show policy 命令列出的规则顺序才是规则匹配顺序（系统将由上到下进行查找）。用户在创建策略规则时可以指定该规则的排列位置，也可以在策略配置模式下修改其位置。策略规则的排列位置可以是绝对位置，即处在首位（Top）或者处在末位（Bottom），也可以是相对位置，即位于某个ID 之前或之后。