【网关-E系列】常见热门高频问（功能）

发布时间：2024-06-14

点击量：347

（一）行为管理策略原理是什么？

(1)   为了对数据流进行统一控制，方便用户配置和管理，设备引入了行为管理策略的概念。通过配置行为管理策略，网关能够对经过设备的数据流进行有效的控制和管理。
(2)   当网关收到数据报文时，把该报文的方向、源地址、目的地址、协议、端口等信息和用户配置的策略匹配，决定是否建立这条数据流，并且把这条流和匹配的策略关联起来，从而确定如何处理该流的后续报文，实现允许、丢弃。对于允许的数据流还可以选择是否进行应用层业务的相关处理。
(3) 应用层业务处理支持IPS、病毒防护、URL过滤、关键字过滤等特性，可以根据防护规则对数据流进行阻断或告警。没有匹配I规则的数据流将放行
(4)   在没有配置任何行为管理策略的情况下，系统默认有一条全any放行的策略，对于经过设备的所有数据流，其缺省策略为直接放行。
(5)   行为管理策略按从上到下顺序匹配的原则，只对通过设备的数据流进行处理，对于到设备本身的数据流和设备本身发出的数据流不进行限制。

行为管理配置要点有哪些行为管理策略由三个部分组成：匹配条件（即报文的过滤条件，如源/目的区域、源/目的IP地址、服务、应用等）、处理动作（允许、拒绝）以及内容安全检查（如IPS、AV）。行为管理配置要点有哪些

匹配条件用于匹配报文的属性信息，即明确需要对哪些报文进行检测和处理；多个匹配条件之间是与的关系，即同时满足多个过滤条件则成功匹配行为管理策略；当存在多个行为管理策略时，将按配置顺序逐条向下匹配，直到匹配成功；
匹配成功的报文将会按照处理动作进行转发（允许）或丢弃并记录安全日志（拒绝）；
若行为管理策略中启用了内容安全检查相关功能，那么行为管理策略会将报文转发给入侵防护、病毒防护、URL过滤等模块进行内容安全检查。匹配URL过滤、关键字过滤、入侵防御或防病毒策略的报文将会按照对应的处理动作进行转发并记录安全日志（告警）或丢弃（阻断）；未匹配的报文则直接放行。

（二）行为管理配置要点有哪些？

行为管理策略由三个部分组成：匹配条件（即报文的过滤条件，如源/目的区域、源/目的IP地址、服务、应用等）、处理动作（允许、拒绝）以及内容安全检查（如IPS、AV）

匹配条件用于匹配报文的属性信息，即明确需要对哪些报文进行检测和处理；多个匹配条件之间是与的关系，即同时满足多个过滤条件则成功匹配行为管理策略；当存在多个行为管理策略时，将按配置顺序逐条向下匹配，直到匹配成功；
匹配成功的报文将会按照处理动作进行转发（允许）或丢弃并记录安全日志（拒绝）；
若行为管理策略中启用了内容安全检查相关功能，那么行为管理策略会将报文转发给入侵防护、病毒防护、URL过滤等模块进行内容安全检查。匹配URL过滤、关键字过滤、入侵防御或防病毒策略的报文将会按照对应的处理动作进行转发并记录安全日志（告警）或丢弃（阻断）；未匹配的报文则直接放行。

（三）行为管理处理模拟运行的应用场景是什么？如何配置？

在日常运维过程中，随着业务的累加、运维人员的变更等因素，行为管理策略的配置复杂度会越来越高。在运维的中后期，对策略的修订时，由于配置不当，导致业务中断的风险也随着策略的复杂度越来越高。
网关提供了一个虚拟的策略空间，供运维人员对策略的改动做验证测试，但不影响真实网络环境中的业务，即模拟空间中的行为管理策略不会对真实业务流量做放行、阻断的操作。
该功能解决了运维中由于配置不当导致业务中断等痛点问题，给运维人员提供一个测试验证环境，从而降低了运维难度和风险，降低运维成本。

【操作步骤】

(1) 点击[策略配置]>>[行为管理]>>[行为管理]菜单项。

(2) 点击操作区右上角的<进入模拟空间>按钮。

(3) 勾选需要模拟运行的策略，点击<开始模拟运行>，并设置模拟运行时长。

【后续处理】

在策略模拟空间中，运维人员可以将当前实际生效的安全策略拷贝导入到其中，并对策略做期望的改动。例如，根据业务需求新增、修订、删除策略。

在运维人员验证确认模拟空间中的安全策略无问题后，便可以将模拟空间中的安全策略导出生效，替换当前的安全策略。