配置策略规则

本节介绍策略规则的配置，包括新建/编辑/删除策略规则、修改策略规则排列顺序、克隆策略规则、启用/禁用策略规则等。

新建策略规则

新建策略规则，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 点击列表左上角的『新建』按钮，弹出<策略配置>对话框。
   
3. 在『基本配置』标签页，配置策略的基本选项。基本选项包含策略的源/目的安全域和源/目的地址的选择，以及服务、时间表、用户和行为的指定。
• 源安全域：指定策略规则的源安全域。
• 目的安全域：指定策略规则的目的安全域。
• 源地址：指定策略规则的源地址。从<源地址>下拉菜单中选择需要的地址或点击『新建』按钮自行创建地址。点击『多个』按钮在弹出的<请选择源地址>对话框进行地址添加。
• 目的地址：指定策略规则的目的地址。从<目的地址>下拉菜单中选择需要的地址或点击『新建』按钮自行创建地址。点击『多个』按钮在弹出的<请选择目的地址>对话框进行地址添加。
• 服务簿：指定策略规则的服务。从<服务簿>下拉菜单中选择需要的服务或点击『新建』按钮自行创建。点击『多个』按钮在弹出的<请选择服务>对话框进行服务条目的添加。
• 时间表：指定策略规则的时间表。从<时间表>下拉菜单中选择需要的时间表或点击『新建』按钮自行创建。点击『多个』按钮在弹出的<请选择时间表>对话框进行时间表添加。
• 源用户：指定策略规则的角色、用户和用户组。点击<源用户>后的『多个』按钮，弹出<角色/用户/用户组配置>对话框，可做如下配置：
  指定角色名称——选择<角色>单选按钮，并在<角色>后的下拉菜单中选择角色名称，然后点击『添加』按钮将该角色添加到列表中。用户可根据自身需要添加多个角色，也可点击『删除』按钮将选中的角色从列表中删除。点击『确定』按钮完成为策略规则指定角色。
  指定用户名称——选择<用户>单选按钮，并在<AAA服务器>后的下拉菜单中选择已创建的服务器、在<用户>下拉菜单中选择已创建的用户，然后点击『添加』按钮将该用户添加到列表中。可根据需要添加多个用户，也可点击『删除』按钮将选中的用户从列表中删除。点击『确定』按钮完成为策略规则指定用户。
  指定用户组名称——选择<用户组>单选按钮，并在<AAA服务器>后的下拉菜单中选择已创建的服务器、在<用户组>下拉菜单中选择已创建的用户组，然后点击『添加』按钮将该用户组添加到列表中。可根据需要添加多个用户组，也可点击『删除』按钮将选中的用户组从列表中删除。点击『确定』按钮完成为策略规则指定用户组。
• 行为：指定对匹配策略规则的流量所采取的行为，包括：
  允许——允许流量通过。选择<允许>单选按钮。
  拒绝——拒绝流量通过。选择<拒绝>单选按钮。
  Web认证——对符合条件的流量进行Web认证。从<安全连接>下拉菜单中选择<Web认证>，并在其后的下拉菜单中选择认证服务器的名称。
  来自隧道（VPN）——当流量为从本地到对端时，使用该行为使流量通过VPN隧道。从<安全连接>下拉菜单中选择<来自隧道（VPN）>，并在其后的下拉菜单中选择隧道名称。
  隧道（VPN）——当流量为从对端到本地时，如果使用该行为，系统将会首先判断流量是否来自隧道，只有来自隧道的流量才会被允许通过。
4. 在『高级控制』标签页，配置策略的高级控制项。高级配置包含QoS标记配置、应用控制规则的绑定以及日志管理配置。
• 指定应用控制规则（目前仅支持指定病毒过滤规则和入侵防御规则）。通过策略与应用控制规则相结合，能够使安全网关完成细粒度的应用层安全策略控制。在<病毒过滤>或<入侵防御>下拉菜单中选择已创建的规则。
• 配置用户上线通知功能。基于策略的用户上线通知功能是指当客户端发送HTTP网页访问请求后，系统自动将该请求重新定向到指定的通知页面。配置该功能后，当用户使用HTTP访问网络时，页面会先跳转到指定的提示页面。
• 为策略中允许通过的流量添加QoS标签，结合系统的QoS管理对流量进行控制。关于QoS配置，请参阅流量管理。 在<设置QoS标记>后的文本框中输入QoS标记的数值。
• 添加策略的描述信息。在<策略描述>后的文本框中输入描述信息。
• 开启日志管理功能。用户可以根据需要，通过系统日志信息记录流量对策略规则的匹配情况：对于允许类型的策略规则，可以记录两种情况，分别是符合策略规则的流量建立会话时生成日志信息和结束会话时生成日志信息；对于拒绝类型的策略规则，可以记录的情况为符合策略规则的流量被拒绝时生成日志信息。选中<记录日志>后相应的复选框开启相应的日志管理功能：
  策略拒绝——符合策略规则的流量被拒绝时生成日志信息。
  会话开始——符合策略规则的流量建立会话时生成日志信息。
  会话结束——符合策略规则的流量结束会话时生成日志信息。
• 修改策略规则排列顺序。每一条策略规则都有唯一一个ID号。流量进入安全网关时，安全网关对策略规则进行顺序查找，然后按照查找到的相匹配的第一条规则对流量进行处理。但是，策略规则ID的大小顺序并不是规则查找时的匹配顺序。WebUI页面上的显示顺序才是系统策略规则的查找顺序。策略规则的排列位置可以是绝对位置，即处在首位或者处在末位，也可以是相对位置，即位于某个ID之前或之后。在<列表位置>下拉菜单中选择该策略规则的位置。
  列表最前——策略规则将位于策略规则列表的首位，系统会最先匹配该策略规则。
  列表最后——策略规则将位于策略规则列表的末位，系统会最后匹配该策略规则。
  ID之前——策略规则将位于指定的ID之前，在后面的文本框中指定ID号。
  ID之后——策略规则将位于指定的ID之后，在后面的文本框中指定ID号。
配置完成后，点击『确定』按钮保存所做配置并返回策略页面。

注意：策略规则的源安全域和目的安全域都可以指定为Any，即任意源或者目的安全域。

编辑策略规则

编辑策略规则，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 选中列表中需要编辑的策略规则对应的复选框，并点击『编辑』按钮，弹出<策略配置>对话框。在该对话框进行编辑。
3. 编辑完成后，点击『确定』按钮保存所做配置。

删除策略规则

删除策略规则，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 选中列表中需要删除的策略规则对应的复选框，并点击『删除』按钮。

克隆策略规则

克隆策略规则，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 选中列表中需要克隆的策略规则对应的复选框，然后点击『克隆』按钮（）。该策略规则将被复制，并显示在策略规则列表的末位。

启用/禁用策略规则

默认情况下，配置好的策略规则会在系统中立即生效。用户可以通过配置禁用某条策略规则，使其不对流量进行控制。

启用/禁用策略规则，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 选中列表中需要启用/禁用的策略规则对应的复选框，然后点击『启用』或『禁用』按钮。

查看策略规则命中数

系统支持策略规则匹配次数统计功能。该功能能够对系统流量与策略规则的匹配次数进行统计，即每当进入系统的流量与某条策略规则相匹配时，该策略规则的命中数会自动加1。

查看策略规则的命中数，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 在列表<命中数>栏查看相应策略规则的匹配次数统计信息。