本文档提供了关于飞连终端防火墙功能的详细配置指导,包括 IP 和域名防火墙策略的设置,以及相关的日志记录和通知配置。通过本指南,您可以有效地管理和控制终端设备对网络资源的访问,增强企业网络安全。
飞连终端防火墙功为您提供了一套全面的访问控制工具,用以管理终端设备对网络资源(包括特定 IP 地址、IP 段和域名)的访问权限。功能包括:
- IP 和域名防火墙策略
飞连终端防火墙允许您创建和应用细粒度的访问控制策略,以管理终端设备对网络资源的访问。这些策略可以基于特定的 IP 地址或 IP 地址范围(IP 段)以及域名来定义。通过这种方式,企业可以精确地限制或允许对特定网络资源的访问,从而防止未授权的访问和潜在的网络威胁。 - 内网环境判断配置
飞连终端防火墙提供了内网环境判断配置,以便在设备连接到内网时自动应用特定的安全措施。这有助于保护内部网络资源免受来自内部威胁的侵害,并确保只有授权设备才能访问敏感信息。 - 实时日志记录与通知
飞连终端防火墙提供实时日志记录功能,使管理员能够监控和审计网络上的所有活动。这些日志记录可以帮助识别潜在的安全威胁和不寻常的网络行为。此外,系统可以在检测到特定事件时发送通知,例如当策略被触发或有安全事件发生时,管理员可以立即采取措施。 - 白名单设置
为了满足不同企业的安全需求,飞连终端防火墙允许为特定的员工和设备设置白名单。在白名单中的用户和设备将不受常规防火墙策略的限制,这适用于需要频繁访问网络资源的员工或设备。
以下是三个最常见的使用场景,概括了企业在使用飞连终端防火墙功能时的主要场景:
- 企业安全管理与数据保护。
企业通过部署终端防火墙策略,有效限制员工在工区以外访问敏感的内部网络资源,从而防止数据泄露。策略包括禁止未经授权的内外部 IP 或域名访问,并在设备脱离受信任网络环境时自动限制网络权限,确保企业信息安全。 - 网络安全性提升与合规性监管。
管理员通过终端防火墙精确记录和管控员工对特定网络资源的访问,如禁止访问某些网站或服务,并利用审计日志进行安全分析。这些措施提高网络安全性,并满足特定的网络安全法规要求。 - 工作效率提升与网络行为管理。
通过终端防火墙策略,企业能够限制员工对非工作相关网站的访问,从而提升工作效率。同时,这些策略也对员工的网络行为进行规范,确保网络资源的合理利用,支持企业运营效率的持续提升。
登录飞连管理后台。
在左侧导航栏,选择终端管控 > 终端防火墙。
在终端防火墙页面,单击策略配置页签。
在策略配置页签,单击 +添加策略,并选择 IP 策略。
在添加 IP 策略页面,完成以下配置,并单击确定。
配置模块
配置项
说明
基本信息
策略名称
支持输入中英文、数字、特殊字符,最多 64 字符。
匹配优先级
当前策略的优先级。取值范围为 0 ~ 100,默认 50,数值越大表示优先级越高。您可以同时生效多条策略,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有策略后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。
策略详情
协议
支持选择 TCP、UDP、ICMP,支持多选。
方向
支持选择出站(终端向网络资源的访问)或入站(网络资源向终端的访问),支持多选。
- 出站
- 目的 IP 地址:网络请求接收方使用的 IP 地址,支持添加单 IP 或 I P 段,端口或端口范围,支持 CIDR 格式和 IPv6 地址,例如 10.1.1.0/24、192.168.0.0-192.168.255.255。每个输入框可添加多个,支持添加多个输入框。
- 端口:网络请求接收方的端口,可自定义值,例如:80 或 1- 65535,未填则默认全部。
- 入站
- 源 IP 地址:网络请求发起方使用的 IP 地址,支持添加单 IP 或 I P 段,支持 CIDR 格式和 IPv6 地址,例如 10.1.1.0/24、192.168.0.0-192.168.255.255。每个输入框可添加多个,支持添加多个输入框。
- 端口:网络请求接收方的端口,可自定义值,例如:80 或 1- 65535,未填则默认全部。
响应动作
默认禁止。选择禁止将拦截流量,允许则放行。
- 禁止:将禁止策略中配置的 IP/端口的流量。
- 允许:将允许策略中配置的 IP/端口的流量。
是否记录日志:仅允许时可选。开启后,将会记录命中允许策略的防火墙日志信息,并上报至日志审计页签。默认不勾选。说明
由于日志数量较大,请谨慎启用。日志的记录周期可在运维平台查看并配置。
消息通知
消息通知配置
当禁止响应动作启用时,您可以设置消息通知来提醒相关人员。单击右侧的修改配置,完成以下消息内容配置,并单击确定。
- 通知标题:IP 禁止访问通知
- 默认文案:基于企业安全管理要求,地址:
#IP地址:#端口禁止访问 - 修改参数:使用
#IP地址:#端口来动态插入被禁止访问的具体 IP 地址。
生效网络环境
可选全部、内网环境或外网环境,默认全部。
生效操作系统
至少选择一种操作系统,Win 不需要额外权限,Mac 需要额外权限。
说明
对于 macOS 客户端,确保已授予必要的网络扩展权限,否则可能会收到弹窗提示。
生效对象
支持以员工或设备维度限制生效范围:
- 员工:通过部门或角色限制员工范围。
- 设备:通过设备名称、操作系统、设备分组限制设备范围。
说明
您可以将特定的员工或设备添加到白名单中。一旦加入白名单,这些员工或设备将不受终端防火墙策略的限制。具体操作,请参考配置全局白名单。
- 出站
配置完成后,请返回到策略配置页面,定位到目标策略,并开启该策略。
说明
策略生效时间可能会有延迟,这主要取决于客户端策略更新的频率。
登录飞连管理后台。
在左侧导航栏,选择终端管控 > 终端防火墙。
在终端防火墙页面,单击策略配置页签。
在策略配置页签,单击 +添加策略,并选择域名策略。
在域名策略页面,完成以下配置,并单击确定。
配置模块
配置项
说明
基本信息
策略名称
支持输入中英文、数字、特殊字符,最多 64 字符。
匹配优先级
当前策略的优先级。取值范围为 0 ~ 100,默认 50,数值越大表示优先级越高。您可以同时生效多条策略,飞连在对终端检测时,按优先级数值大小依次匹配策略,命中后停止匹配,如果一直未命中,则执行完所有策略后停止检测。如果存在两条优先级数值相同的策略,则优先执行策略修改时间最新的一条。
策略详情
响应动作
默认禁止。选择禁止将拦截流量,允许则放行。
- 禁止:将禁止策略中配置的域名的流量。
- 允许:将允许策略中配置的域名的流量。
允许动作下,是否记录日志:仅允许时可选。开启后,将会记录命中允许策略的防火墙日志信息,并上报至日志审计页签。默认不勾选。说明
由于日志数量较大,请谨慎启用。日志的记录周期可在运维平台查看并配置。
- DNS 劫持:劫持策略中配置的域名的请求。
域名列表
填写域名时,直接输入,无需 "http://" 或 "https://",例如:"www.example.com"。拦截特定域名前缀如 "www.abc.com" 时,子域名 "oa.abc.com" 不受影响,除非使用 "*.abc.com" 来拦截所有子域名。多个域名用回车、逗号或空格分隔,列表可分页。
当您需要添加多个域名时,可以通过回车、逗号或空格来分隔它们。域名列表支持分页显示。说明
通配符 "*" 只能放在域名的开头。
消息通知
消息通知配置
当禁止响应动作启用时,您可以设置消息通知来提醒相关人员。单击右侧的修改配置,完成以下消息内容配置,并单击确定。
- 通知标题:域名禁止访问通知
- 默认文案:基于企业安全管理要求,地址:
#域名地址禁止访问 - 修改参数:使用
#域名地址来动态插入被禁止访问的具体域名。
生效网络环境
可选全部、内网环境或外网环境,默认全部。
生效操作系统
至少选择一种操作系统,Win 不需要额外权限,Mac 需要额外权限。
说明
对于 macOS 客户端,确保已授予必要的网络扩展权限,否则可能会收到弹窗提示。
生效对象
支持以员工或设备维度限制生效范围:
- 员工:通过部门或角色限制员工范围。
- 设备:通过设备名称、操作系统、设备分组限制设备范围。
说明
您可以将特定的员工或设备添加到白名单中。一旦加入白名单,这些员工或设备将不受终端防火墙策略的限制。具体操作,请参考配置全局白名单。
配置完成后,请返回到策略配置页面,定位到目标策略,并开启该策略。
说明
策略生效时间可能会有延迟,这主要取决于客户端策略更新的频率。
登录飞连管理后台。
在左侧导航栏,选择终端管控 > 终端防火墙。
在终端防火墙页面,单击策略配置页签。
(可选)您可以筛选现有策略,筛选条件说明见下表。
输入筛选条件后,筛选结果会自动展示在下方列表。筛选条件
说明
策略类型
可选全部、IP 策略或域名策略:
- 全部:查看所有策略,不论类型。
- IP 策略:仅显示基于 IP 地址的策略。
- 域名策略:仅显示基于域名的策略。
生效状态
可选全部、生效或未生效:
- 全部:显示所有生效和未生效的策略。
- 已生效:仅显示当前正在生效的策略。
- 未生效:仅显示当前未在生效的策略。
方向
可选全部、入站或出站:
- 全部:显示所有入站和出站策略。
- 入站:仅显示处理进入网络流量的策略。
- 出站:仅显示处理离开网络流量的策略。
源地址
输入特定的 IP 地址或 IP 地址范围,以筛选出与该源地址相关的策略。
目的地址
输入特定的 IP 地址或 IP 地址范围,以筛选出与该目的地址相关的策略。
目的端口
输入特定的端口号或端口范围,以筛选出与该端口相关的策略。
域名
输入特定的域名,以筛选出与该域名相关的策略。
策略名称
输入策略的关键字或名称,以筛选出匹配的策略。
排序方式
可选按优先级排序、按编辑时间排序或按创建时间排序:
- 优先级:根据策略的优先级级别进行排序,优先级高的策略排在前面。
- 编辑时间:根据策略最后一次编辑的时间进行排序,最近编辑的策略排在前面。
- 创建时间:根据策略创建的时间进行排序,最早创建的策略排在前面。
在筛选出的策略列表中,找到目标策略,您可以复制、编辑和删除当前策略。
- 复制:通过复制功能,您可以快速创建一个与当前策略相同但可独立修改的新策略副本。
- 编辑:编辑功能允许您对已存在的策略进行修改,以更新其规则或参数。
说明
当您将配置更改为内网或公网环境时,请确保已激活客户端网络环境探测功能。如果该功能未启用,系统将提示错误。若需要启用此功能,您可以通过通用配置 > 客户端配置 > 客户端网络环境探测中启用内网环境探测功能。具体操作,请参考客户端配置。
- 删除:删除功能用于移除不再需要的策略,确保策略列表保持最新和相关。
说明
策略删除后,不可恢复,请谨慎操作。
登录飞连管理后台。
在左侧导航栏,选择终端管控 > 终端防火墙。
在终端防火墙页面,单击日志审计页签。
日志审计的统计功能提供了对拦截事件的概览,包括:
- 拦截设备 TOP10:列出被拦截次数最多的前十台设备,点击设备名称可跳转到详细日志列表。
- 拦截域名地址 TOP10:展示被拦截次数最多的前十个域名地址,点击域名地址可查看相关日志。
- 拦截目的 IP TOP10:显示被拦截次数最多的前十个 IP 地址,点击 IP 地址和“禁止”标签可查看详细日志。
您可以通过筛选功能查找特定条件的日志记录,筛选条件说明见下表。
输入筛选条件后,筛选结果会自动展示在下方列表。筛选条件
说明
时间选择
预设的时间范围或自定义时间段来查看统计数据,提供“最近 24 小时”、“最近 7 天 ”、“最近 3 0 天 ”、“最近 9 0 天 ”、“最近 1 80 天 ”等快速选项,以及一个自定义时间范围的设置。
用户、部门、设备
通过关键信息如姓名、手机号、邮箱、部门名称或设备名称/ID 来定位和筛选相关记录。
源地址
通过 IP 地址或域名进行筛选,支持模糊匹配和同时输入多个域名或 IP 地址进行搜索。
目的地址
通过 IP 地址或域名进行筛选,支持模糊匹配和同时输入多个域名或 IP 地址进行搜索。
目的端口
根据端口号进行筛选,支持模糊匹配和多端口选择。
命中策略
支持根据策略名称或 ID 来筛选相关的日志条目。
上报时间
根据日志上报的时间进行筛选,提供快捷时间范围选择,支持自定义筛选的具体时间区间。
操作系统
可选择查看所有系统或特定操作系统(如 Windows、Mac)的日志。
响应动作
根据日志中的响应动作类型(如允许、拒绝等)来筛选日志。
协议
根据网络协议类型(如 TCP、UDP)筛选日志。
方向
根据流量的方向(入站或出站)筛选日志。
飞连版本
根据飞连版本号和策略类型进行筛选。
策略类型
根据策略的类型(如 IP 策略、域名策略)筛选日志。
筛选后,您可以在日志列表查看目标拦截事件的详细信息,包括:
信息项
说明
告警时间
显示事件被系统检测到的确切时间点。
用户信息
提供与事件相关的用户信息。通过悬停(鼠标悬停)操作,可以查看该用户的更多详细信息。
设备信息
列出与事件关联的设备资料。通过悬停(鼠标悬停)操作,可以查看该设备的完整详细信息。
操作系统
标识记录事件的操作系统,如 Windows 10 或 m acOS。
响应动作
系统对事件采取的措施,可能包括“禁止”、“允许”或“DNS 劫持”。对于“DNS 劫持”事件,悬停操作可显示被劫持到的具体 IP 地址。
源地址
显示发起网络请求的源 IP 地址。
目的地址
在 IP 策略相关事件中,显示涉及的目的地址和端口号。
协议
涉及的网络通信协议,如 TCP(传输控制协议)或 UDP(用户数据报协议)。
方向
指示流量的方向,例如“出站”表示从内部网络到外部网络的流量,而“入站”则相反。
命中策略
触发拦截的策略名称。点击名称可查看策略的详细信息。
说明
如果策略有更新或删除,历史日志将显示旧名称,而新日志将显示更新后的名称。
飞连版本
记录事件时所使用的飞连软件版本号。
上报时间
事件被系统记录并上报的具体时间。
策略类型
标识事件所属的策略类型,如“IP 策略”或“域名策略”,帮助您了解事件的背景和处理方式。