GRANDSTREAM GCC601X(W) 一体式网络解决方案防火墙用户手册

内容隐藏

1 GRANDSTREAM GCC601X(W) 一体式网络解决方案防火墙

2 超过VIEW

GRANDSTREAM GCC601X(W) 一体式网络解决方案防火墙

用户手册

GCC601X(W) 防火墙
在本指南中，我们将介绍GCC601X(W)防火墙模块的配置参数。

超过VIEW

结束view 页面为用户提供了对 GCC 防火墙模块的全球洞察以及安全威胁和统计数据，view 页面包含：

防火墙服务：显示防火墙服务和软件包状态以及生效日期和到期日期。
顶级安全日志：显示每个类别的顶级日志，用户可以从下拉列表中选择类别或单击箭头图标重定向到安全日志页面以了解更多详细信息。

保护统计：显示各种保护统计数据，可以通过单击设置图标清除所有统计数据。
排名靠前的过滤应用程序：显示已按计数过滤的排名靠前的应用程序。

病毒 Files：显示扫描的 file并发现病毒 file同样，要启用/禁用反恶意软件，用户可以单击设置图标。
威胁级别：使用颜色代码显示从严重到轻微的威胁级别。

威胁类型：用颜色代码和重复次数显示威胁类型，用户可以将鼠标光标悬停在颜色上以显示名称和出现次数。
主要威胁：显示主要威胁的类型和数量。

用户可以轻松发现最重要的通知和威胁。

用户可以点击“顶级安全日志”下的箭头图标重定向到“安全日志”部分，或将鼠标悬停在“保护统计信息”下的齿轮图标上以清除统计信息，或在“病毒”下 file禁用反恶意软件。在威胁级别和威胁类型下，用户还可以将鼠标悬停在图表上以显示更多详细信息。请参考上图。

防火墙政策

规则政策

规则策略允许定义 GCC 设备如何处理入站流量。这是根据 WAN、VLAN 和 VPN 完成的。

入站策略：定义 GCC 设备对从 WAN 或 VLAN 发起的流量采取的决定。可用的选项包括接受、拒绝和丢弃。

IP 伪装：启用 IP 伪装。这将伪装内部主机的 IP 地址。
甲基安非他命amping：启用此选项将允许在 TCP 会话协商期间协商 MSS（最大段大小）

记录丢弃/拒绝流量：启用此选项将生成所有已被丢弃或拒绝的流量的日志。
丢弃/拒绝流量日志限制：指定每秒、每分钟、每小时或每天的日志数量。范围是 1~99999999，如果为空，则无限制。

入站规则

GCC601X(W) 允许过滤进入网络组或端口 WAN 的流量并应用如下规则：

接受：允许流量通过。
拒绝：将向远端发送答复，表明数据包被拒绝。

丢弃：数据包将被丢弃，而不会向远端发出任何通知。

转发规则

GCC601X(W) 可以允许不同组和接口（WAN/VLAN/VPN）之间的流量。
要添加转发规则，请导航至防火墙模块 → 防火墙策略 → 转发规则，然后单击“添加”按钮添加新的转发规则或单击“编辑”图标编辑规则。

高级 NAT

NAT 或网络地址转换，顾名思义，它是将私有或内部地址转换或映射到公共 IP 地址或反之亦然，而 GCC601X(W) 支持这两种方式。

SNAT：源 NAT 是指将客户端的 IP 地址（私有或内部地址）映射到公共地址。
DNAT：目标 NAT 是 SNAT 的逆过程，其中数据包将被重定向到特定的内部地址。

防火墙高级 NAT 页面提供设置源和目标 NAT 配置的功能。导航至防火墙模块 → 防火墙策略 → 高级 NAT。

源地址转换

要添加 SNAT，请单击“添加”按钮添加新 SNAT，或单击“编辑”图标编辑之前创建的 SNAT。请参阅下图和表格：

创建或编辑 SNAT 条目时参考下表：

DTA
要添加 DNAT，请单击“添加”按钮添加新的 DNAT，或单击“编辑”图标编辑之前创建的 DNAT。请参阅下图和表格：

创建或编辑 DNAT 条目时参考下表：

全局配置

刷新连接重新加载

启用此选项并更改防火墙配置后，先前防火墙规则允许的现有连接将被终止。

如果新的防火墙规则不允许先前建立的连接，则该连接将被终止并且无法重新连接。禁用此选项后，现有连接将允许继续，直到超时，即使新规则不允许建立此连接。

安全防御

DoS防御
基础设置-安全防御
拒绝服务攻击是一种通过向目标机器发送大量请求来使系统过载甚至崩溃或关闭，从而使合法用户无法使用网络资源的攻击。

IP异常

在此页面上，用户可以添加要从 DoS 防御扫描中排除的 IP 地址或 IP 范围。要将 IP 地址或 IP 范围添加到列表中，请单击“添加”按钮，如下所示：

指定名称，然后切换状态 ON，然后指定 IP 地址或 IP 范围。

欺骗防御

欺骗防御部分针对各种欺骗技术提供了多种对策。为了保护您的网络免受欺骗，请启用以下措施以消除您的流量被拦截和欺骗的风险。GCC601X(W) 设备提供了针对 ARP 信息以及 IP 信息欺骗的措施。

ARP欺骗防御

阻止源 MAC 地址不一致的 ARP 回复：GCC 设备将验证特定数据包的目标 MAC 地址，当设备收到响应时，它将验证源 MAC 地址并确保它们匹配。否则，GCC 设备将不会转发数据包。

阻止目标 MAC 地址不一致的 ARP 回复：GCC601X(W) 将在收到响应时验证源 MAC 地址。设备将验证目标 MAC 地址并确保它们匹配。
否则，设备将不会转发该数据包。
拒绝将 VRRP MAC 放入 ARP 表：GCC601X(W) 将拒绝将任何生成的虚拟 MAC 地址放入 ARP 表。

反恶意软件

在本节中，用户可以启用反恶意软件并更新其签名库信息。

配置

要启用反恶意软件，请导航至防火墙模块→反恶意软件→配置。
反恶意软件：切换开/关以启用/禁用反恶意软件。

笔记：
过滤 HTTPS URL，请启用“SSL代理”。

欺骗防御

ARP欺骗防御

阻止源 MAC 地址不一致的 ARP 回复：GCC 设备将验证特定数据包的目标 MAC 地址，当设备收到响应时，它将验证源 MAC 地址并确保它们匹配。否则，GCC 设备将不会转发数据包。

阻止目标 MAC 地址不一致的 ARP 回复：GCC601X(W) 将在收到响应时验证源 MAC 地址。设备将验证目标 MAC 地址并确保它们匹配。

否则，设备将不会转发该数据包。
拒绝将 VRRP MAC 放入 ARP 表：GCC601X(W) 将拒绝将任何生成的虚拟 MAC 地址放入 ARP 表。

反恶意软件

在本节中，用户可以启用反恶意软件并更新其签名库信息。

配置

要启用反恶意软件，请导航至防火墙模块→反恶意软件→配置。
反恶意软件：切换开/关以启用/禁用反恶意软件。

数据包检测深度：根据配置检查每个流量的数据包内容。深度越深，检测率越高，但 CPU 消耗也越高。深度有低、中、高 3 个等级。

扫描压缩 Files: 支持扫描压缩 files

在结束view 页面上，用户可以查看统计数据并view。此外，可以通过单击设置图标直接从此页面禁用反恶意软件，如下所示：

还可以查看安全日志以了解更多详细信息

病毒特征库
在此页面，用户可以手动更新反恶意软件特征库信息，每日更新或创建计划，请参阅下图：

笔记：
默认每天随机时间点（00:00-6:00）更新。

入侵防御

入侵防御系统 (IPS) 和入侵检测系统 (IDS) 都是监控网络流量是否存在可疑活动和未经授权的访问尝试的安全机制。IDS 通过分析网络数据包和日志来识别潜在的安全威胁，而 IPS 则通过实时阻止或缓解恶意流量来主动预防这些威胁。IPS 和 IDS 共同提供了一种分层的网络安全方法，有助于防范网络攻击并保护敏感信息。僵尸网络是由受恶意软件感染并由恶意行为者控制的受感染计算机组成的网络，通常用于进行大规模网络攻击或非法活动。

入侵检测/入侵防御

基本设置–IDS/IPS
在此选项卡上，用户可以选择IDS/IPS模式、安全保护级别。

IDS/IPS 模式：

通知：检测流量并仅通知用户而不阻止，这相当于IDS（入侵检测系统）。
通知和阻止：检测或阻止流量并通知安全问题，这相当于 IPS（入侵防御系统）。
无操作：没有通知或预防，在这种情况下 IDS/IPS 被禁用。

安全防护等级：选择防护等级（低、中、高、极高和自定义）。不同的防护等级对应不同的防护级别。用户可以自定义防护类型。防护等级越高，防护规则越多，自定义将允许用户选择IDS/IPS要检测的内容。

也可以选择自定义安全保护级别，然后从列表中选择具体威胁。请参考下图：

要检查通知和采取的措施，请在安全日志下从下拉列表中选择 IDS/IPS，如下所示：

IP异常
此列表中的 IP 地址不会被 IDS/IPS 检测到。要将 IP 地址添加到列表中，请单击“添加”按钮，如下所示：

输入名称，然后启用状态，然后选择 IP 地址的类型（源或目标）。要添加 IP 地址，请单击“+”图标；要删除 IP 地址，请单击“-”图标，如下所示：

僵尸网络
基本设置 – 僵尸网络
在此页面，用户可以配置监控出站Botnet IP和Botnet域名的基本设置，有三个选项：
监控：有告警产生，但是没有被阻断。
阻止：监控并阻止访问僵尸网络的出站 IP 地址/域名。
无操作：未检测到出站僵尸网络的 IP 地址/域名。

IP/域名例外
此列表中的 IP 地址不会被检测到为僵尸网络。要将 IP 地址添加到列表中，请单击“添加”按钮，如下所示：
输入名称，然后启用状态。要添加 IP 地址/域名，请单击“+”图标；要删除 IP 地址/域名，请单击“-”图标，如下所示：

特征库 – 僵尸网络
在此页面用户可以手动更新IDS/IPS及Botnet特征库信息、每日更新或者创建计划更新，参考下图：

笔记：
默认每天随机时间点（00:00-6:00）更新。

内容控制

内容控制功能为用户提供了基于 DNS 过滤（允许或阻止）流量的能力， URL、关键词和应用。

DNS 过滤

要根据 DNS 过滤流量，请导航至防火墙模块 → 内容控制 → DNS 过滤。单击“添加”按钮添加新的 DNS 过滤，如下所示：

然后，输入 DNS 过滤器的名称，启用状态，并选择操作（允许或阻止），对于过滤的 DNS，有两个选项：

简单匹配：域名支持多级域名匹配。
通配符：可以输入关键词和通配符*，通配符*只能加在输入的关键词之前或之后。例如ample: *.imag, news*, *news*. 中间的 * 被视为普通字符。

要检查过滤后的 DNS，用户可以在 Overview 页面或安全日志下，如下所示：

Web 过滤
基本设置 – Web 过滤
在该页面上，用户可以启用/禁用全局 web 过滤，然后用户可以启用或禁用 web URL 过滤 URL 独立进行类别过滤和关键字过滤，并过滤 HTTPS URLs，请启用“SSL 代理”。

URL 过滤
URL 过滤功能使用户能够过滤 URL 使用简单匹配（域名或 IP 地址）或使用通配符（例如 *examp啦*）。
要创建一个 URL 过滤，导航至防火墙模块 → 内容过滤 → Web 筛选页面 → URL 过滤选项卡，然后点击“添加”按钮，如下图所示：

指定名称，然后切换状态为 ON，选择操作（允许、阻止），最后指定 URL 可以使用简单的域名、IP 地址（简单匹配），也可以使用通配符。请参考下图：

URL 类别过滤
用户不仅可以选择按特定域/IP 地址或通配符进行过滤，还可以选择按类别进行过滤，例如amp攻击和威胁，成人等
要阻止或允许整个类别，请单击行上的第一个选项，然后选择全部允许或全部阻止。也可以按子类别阻止/允许，如下所示：

关键词过滤
关键字过滤使用户能够使用正则表达式或通配符进行过滤（例如 *examp啦*）。
要创建关键字过滤，请导航至防火墙模块 → 内容过滤 → Web 过滤页面→关键词过滤标签，然后点击“添加”按钮，如下图：

指定名称，然后切换状态为 ON，选择操作（允许、阻止），最后使用正则表达式或通配符指定过滤的内容。请参考下图：

当关键字过滤处于开启状态且操作设置为阻止时。如果用户尝试访问例如amp当浏览器打开“YouTube”时，将会收到防火墙警告，如下所示：

Examp浏览器上的 keywords_filtering 文件
有关警报的更多详细信息，用户可以导航至防火墙模块→安全日志。

URL 签名库
在此页面上，用户可以更新 Web 手动筛选特征库信息、每日更新、或创建计划，请参考下图：

笔记：
默认每天随机时间点（00:00-6:00）更新。

应用程序过滤
基本设置 – 应用程序过滤
在该页面上，用户可以启用/禁用全局应用程序过滤，然后用户可以按应用类别启用或禁用。
导航到防火墙模块→内容控制→应用程序过滤，在基本设置选项卡上，全局启用应用程序过滤，也可以启用AI识别以获得更好的分类。

笔记：
当启用AI识别时，将使用AI深度学习算法来优化应用程序分类的准确性和可靠性，这可能会消耗更多的CPU和内存资源。

应用程序过滤规则

在应用程序过滤规则选项卡上，用户可以按应用程序类别允许/阻止，如下所示：

覆盖过滤规则
如果选择了应用程序类别，用户仍然可以选择使用覆盖过滤规则功能来覆盖一般规则（应用程序类别）。
例如amp例如，如果浏览器应用程序类别设置为阻止，那么我们可以添加一个覆盖过滤规则来允许 Opera Mini，这样除了 Opera Mini 之外的整个浏览器应用程序类别都会被阻止。
要创建覆盖过滤规则，请单击“添加”按钮，如下所示：

然后，指定名称并切换状态为 ON，将操作设置为允许或阻止，最后从列表中选择将被允许或阻止的应用程序。请参考下图：

签名库 – 应用程序过滤
在此页面，用户可以手动更新应用程序过滤特征库信息、每日更新或者创建计划更新，请参考下图：

笔记：
默认每天随机时间点（00:00-6:00）更新。

SSL 代理

SSL 代理是一种使用 SSL 加密来保护客户端和服务器之间数据传输的服务器。它以透明的方式运行，加密和解密数据而不被发现。它主要确保敏感信息在互联网上安全传递。
当启用 SSL 代理时，GCC601x(w) 将作为连接客户端的 SSL 代理服务器。

基本设置 – SSL 代理

启用 SSL 代理等功能， Web 过滤或反恶意软件有助于检测某些类型的攻击 web此类攻击包括 SQL 注入和跨站点脚本 (XSS) 攻击。这些攻击试图破坏或窃取来自 web網站。

当这些功能处于活动状态时，它们会在安全日志下生成警报日志。
然而，当这些功能开启时，用户在浏览 web。发生这种情况是因为浏览器无法识别正在使用的证书。为了避免这些警告，用户可以在浏览器中安装证书。如果证书不受信任，某些应用程序在访问互联网时可能无法正常工作
对于 HTTPS 过滤，用户可以通过导航到防火墙模块 → SSL 代理 → 基本设置来启用 SSL 代理，然后从下拉列表中选择 CA 证书或单击“添加”按钮以创建新的 CA 证书，然后切换为 ON SSL 代理。请参阅下图和表格：

]

为了使 SSL 代理生效，用户可以点击如下所示的下载图标手动下载 CA 证书：

然后，可以将 CA 证书添加到受信任证书下的目标设备。

源地址
如果未指定源地址，则所有传出连接都会自动通过 SSL 代理进行路由。但是，手动添加新源地址后，只有特别包含的源地址才会通过 SSL 代理，从而确保根据用户定义的标准进行选择性加密。

SSL 代理豁免列表
SSL 代理涉及拦截和检查客户端和服务器之间的 SSL/TLS 加密流量，这通常用于企业网络内的安全和监控目的。然而，在某些情况下，SSL 代理可能不适合或不适用于特定 web網站或網域。
豁免列表允许用户指定其 IP 地址、域、IP 范围和 web 免除 SSL 代理的类别。
点击“添加”按钮，添加 SSL 豁免，如下所示：