H3C SecPath ACG1000系列应用控制网关 Web配置指导(E6411 R6609)-6W106

1 安全策略

安全策略对通过设备的源接口、目的接口、源IP、目的IP、服务、用户以及应用七元组进行访问控制。

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”，进入IPv4策略显示界面，如图1-1所示。

图1-1 IPv4策略显示界面

IPv4策略的含义如表1-1所示：

表1-1 IPv4显示信息描述表

标题项	说明
状态	策略的状态： · 表示策略启用 · 表示策略禁用
ID	策略的ID。
源接口	匹配安全策略的源接口。
目的接口	匹配安全策略的目的接口。
源地址	匹配安全策略的源地址。
目的地址	匹配安全策略的目的地址。
服务	匹配安全策略匹配的服务对象。
应用	匹配安全策略匹配的应用对象。
用户	匹配安全策略的用户对象。
描述	安全策略描述。
匹配次数	匹配安全策略的次数。
应用安全	如果显示图标，表示已经匹配了应用审计或URL审计规则。
时间	匹配安全策略匹配的时间对象。
日志	安全策略是否记录日志。
老化时间	基于策略的老化时间，缺省情况下，老化时间为0，表示使用各个协议默认的老化时间。

单击<新建>按钮，进入安全策略配置页面，如图1-2所示。

图1-2 IPv4策略配置界面

IPv4策略详细配置说明，如表1-2所示。

表1-2 IPv4策略详细配置

标题项	说明
行为	策略的动作是： · 审计，对匹配匹配条件的会话进行应用审计。 · 免审计，对匹配匹配条件的会话免审计。 · 拒绝，阻断命中匹配条件的会话。
老化时间	基于策略的老化时间配置，缺省情况下，默认值为0，表示使用各个协议默认的老化时间。
描述	安全策略描述。
启用	策略启用和禁用，勾选表示开启策略，不勾选表示禁用策略。
用户	匹配安全策略的用户对象。
源接口/域	安全策略指定的源接口。
目的接口/域	安全策略指定的目的接口。
源地址	匹配安全策略的源地址。
目的地址	匹配安全策略的目的地址。
时间	安全策略匹配的时间对象。
服务	安全策略匹配的服务对象。
应用	安全策略匹配的应用对象。

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”，单击<优先级>按钮进入安全策略优先级配置页面，如图1-3所示。

安全策略优先级详细配置说明，如表1-3所示。

标题项	说明
被移动的策略ID	被移动的策略索引。
目标位置	移动后的位置： · 策略最前指移动到所有策略的最前面。 · 策略ID之前指移动到某条固定的策略之前。 · 策略ID之后指移动到某条固定的策略后面。 · 策略最后指移动到所有策略的后面。
目标位置策略ID	参考策略索引。

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”，进入安全策略显示页面，如图1-4所示。勾选要启用或者禁用的安全策略，单击<启用>按钮或<禁用>按钮可以启动和禁用该安全策略。

图1-4 IPv4策略启用和禁用

在导航栏中选择“上网行为管理 > 策略配置 > IPv4策略”，进入安全策略显示页面，如图1-5所示。单击查询，填写过滤条件可以搜寻出符合该过滤条件的安全策略。

图1-5 IPv4策略搜索

安全策略搜索配置详细说明，如表1-3所示。

表1-4 安全策略搜索详细配置

标题项	说明
ID	被搜索的策略索引。
源接口/域	策略所选择的源接口。
源地址	策略所配置包含该地址的地址对象（可基于地址对象或IP地址搜寻）。
用户	策略所选择的用户。
目的接口/域	策略所选择的目的接口。
目的地址	策略所配置包含该地址的地址对象（可基于地址对象或IP地址搜寻）。
应用	策略所选择的应用。
服务	策略所选择的服务。
描述	策略所对应的描述信息。