策略规则配置

本节提供策略规则配置步骤，包括转换策略模式、新建、编辑或者删除策略规则、修改策略规则排列顺序、指定规则缺省行为、复制策略规则、启用/禁用策略规则、查看策略规则匹配次数。

转换策略模式

Hillstone安全设备的策略包括基于安全域的策略和全局策略两种模式。默认情况下，系统处于基于安全域的策略模式，用户可以根据需要转换系统策略模式。

• 从基于安全域的策略模式转换到全局策略模式：访问页面“防火墙策略”，点击『全局策略』按钮，然后重启设备。或者，访问“防火墙上网行为策略”，点击『全局策略』按钮，然后重启设备。
• 从全局策略模式转换到基于安全域的策略模式：访问页面“防火墙策略”，点击『基于安全域策略』按钮，然后重启设备。

注意：当系统从基于安全域的策略模式转换到全局策略模式时，系统中原有的基于安全域的策略规则将全部转换成全局策略规则，转换后，策略规则的源安全域和目的安全域可以编辑；当系统从全局策略模式转换到基于安全域的策略模式时，系统中原有的部分全局策略规则可能会被丢弃，建议用户不要进行该转换。

新建策略规则

基于安全域的策略规则/全局策略规则的创建分为基本配置和高级配置两部。基本配置包含策略的基本选项配置，包括源/目的安全域和源/目的地址的选择、服务和行为的指定；高级配置可对策略的高级选项进行配置，包括QoS标记配置、Profile组配置以及日志管理配置。高级配置说明如下：

• QoS标记：为策略中允许通过的流量添加QoS标签，结合系统的QoS管理对流量进行控制。关于QoS配置，请参阅QoS介绍。
• Profile组配置：通过安全策略与Profile相结合，能够使安全网关完成细粒度的应用层安全策略控制。Profile针对不同的应用定义不同的操作，将复杂控制信息简单化，从而简化安全网关配置。Profile必须添加到Profile组中才可以被策略规则引用，并且只有被策略规则引用的Profile组才能够在安全网关的配置中起作用。StoneOS支持五类Profile，分别是行为Profile、内容过滤Profile、HTTP Profile、防病毒Profile和IPS Profile。每一类Profile可以针对具体应用分别配置不同的控制动作。
• 日志管理配置：用户可以根据需要，通过系统日志信息记录流量对策略规则的匹配情况：对于允许类型的策略规则，可以记录两种情况，分别是符合策略规则的流量建立会话时生成日志信息和结束会话时生成日志信息；对于拒绝类型的策略规则，可以记录的情况为符合策略规则的流量被拒绝时生成日志信息。
  

新建基于安全域的策略规则/全局策略规则，请按照以下步骤进行操作：

1. 访问页面“防火墙策略”。
2. 分别从<源安全域>和<目的安全域>下拉菜单选择规则的源安全域和目的安全域，然后点击『新建』按钮，进入<策略基本配置>页面。
3. 根据需要依次填写个选项。选项的具体描述，请参阅策略基本配置。
4. 配置完成，点击『确定』按钮，提交所做配置并且返回策略主页面。
5. 如果需要对策略规则的高级选项进行配置，点击策略列表中规则对应的『编辑』按钮（）进入<策略高级配置>页面，对策略进行配置。选项的具体描述，请参阅策略高级配置。
6. 配置完成，点击『确定』按钮，提交所做配置并且返回策略主页面。

注意：全局策略规则的源安全域和目的安全域都可以指定为Any，即任意源或者目的安全域。

编辑基于安全域的策略规则/全局策略规则，请按照以下步骤进行配置：

1. 访问页面“防火墙策略”。
2. 点击策略列表中规则对应的『编辑』按钮（）进入<策略高级配置>页面。
3. 如果编辑全局策略规则，在<源安全域>和<目的安全域>下拉菜单中选择安全域，从而重新指定源或者目的安全域。如果编辑基于安全域的策略规则，请直接进行第4步操作。
4. 点击<源地址>和<目的地址>对应的『多个』按钮，弹出<源地址配置>或者<目的地址配置>对话框，在该对话框添加或者删除地址类型，从而重新指定源或者目的地址。
5. 点击<服务簿>对应的『多个』按钮，弹出<服务配置>对话框，在该对话框添加或者删除服务成员从而更改策略规则的服务。
6. 修改行为，选中需要的行为的单选按钮。
7. 如果需要，选中<QoS标记>复选框，并在文本框中指定数字，为流量添加QoS标签。
8. 如果需要，选中<Profile组>复选框，并从下拉菜单选择Profile组。Hillstone山石网科多核安全网关支持五类Profile，分别是行为Profile、内容过滤Profile、HTTP Profile、防病毒Profile和IPS Profile。
9. 如果需要，选择<日志>部分日志管理的复选框，通过系统日志信息记录流量对策略规则的匹配情况。
10. 编辑和配置完成，点击『确认』按钮，提交所做配置并且返回策略主页面。

删除策略规则

用户可以逐条删除基于安全域的策略规则/全局策略规则，也可以同时删除从一个安全域到另一个安全域的所有基于安全域的策略规则/全局策略规则。

删除基于安全域的策略规则/全局策略规则，请按照以下步骤进行操作：

1. 访问页面“防火墙策略”。
2. 点击策略列表中规则对应的『删除』按钮（）删除相应的策略。

同时删除从一个安全域到另一个安全域的所有基于安全域的策略规则/全局策略规则，请按照以下步骤进行操作：

1. 访问页面“防火墙策略”。
2. 在策略规则列表中，点击安全域对应的『删除所有』。

修改策略规则排列顺序

每一条基于安全域的策略规则/全局策略规则都有唯一一个ID号。流量进入安全网关时，安全网关对策略规则进行顺序查找，然后按照查找到的相匹配的第一条规则对流量进行处理。但是，策略规则ID的大小顺序并不是规则查找时的匹配顺序。WebUI页面上的显示顺序才是系统策略规则的查找顺序。策略规则的排列位置可以是绝对位置，即处在首位或者处在末位，也可以是相对位置，即位于某个ID之前或之后。

修改基于安全域的策略规则/全局策略规则排列顺序，请按照以下步骤进行操作：

1. 访问页面“防火墙策略”。
2. 点击策略列表中规则对应的『移动』按钮（），弹出<移动规则>对话框。
3. 根据需要，为策略规则指定适当的位置。然后点击『确定』按钮。

指定规则缺省行为

用户可以为安全域间未匹配到任何已配置基于安全域的策略规则/全局策略规则的流量指定缺省行为，系统将按照指定的缺省行为对此类流量进行处理。默认情况下，系统会拒绝未匹配到任何已配置策略规则的流量通过。

指定规则缺省行为，请按照以下步骤进行操作：

1. 访问页面“防火墙策略”。
2. 从策略列表中的<缺省行为>下拉菜单选择<允许>或者<拒绝>。

复制策略规则

复制基于安全域的策略规则/全局策略规则，请按照以下步骤进行操作：

1. 访问页面“防火墙策略”。
2. 点击策略列表中规则对应的『复制』按钮（）。复制后，新规则被排列在对应源安全域到目的安全域规则的最下方。

启用/禁用策略规则

默认情况下，配置好的基于安全域的策略规则/全局策略规则会在系统中立即生效。用户可以通过配置禁用某条策略规则，使其不对流量进行控制。

启用/禁用策略规则，请按照以下步骤进行操作：

1. 访问页面“防火墙策略”。
2. 选中规则前的复选框开启策略规则，取消选中规则前的复选框禁用相应的策略规则。

查看策略规则匹配次数

Hillstone安全网关设备支持策略规则匹配次数统计功能。该功能能够对系统流量与策略规则的匹配次数进行统计，即每当进入系统的流量与某条策略规则相匹配时，该策略规则的匹配次数会自动加1。查看基于安全域的策略规则/全局策略规则的匹配次数，请按照以下步骤进行操作：

1. 访问页面“防火墙策略”。
2. 点击规则列表右侧的『策略命中计数』按钮进入策略命中计数列表页面。在列表<命中数>栏查看相应策略规则的匹配次数统计信息。

提示：对于和上网行为管理有关的全局策略规则，用户只能修改其排列顺序，不能对其进行编辑、删除、复制或者启用/禁用。