Security Policy - ключевой компонент NGFW.
В Security Policy определяются правила, разрешающие или запрещающие сетевой трафик

При создании правил Security Policy используются Objects:

Security Zones

Security Zone - это группа сетевых интерфейсов, объединенных под одним именем и далее используемая в Security Policy Rule

Cleanup and Stealth Rules

CP рекомендует использовать эти правила.

• Cleanup Rule - правило или правила, расположенные внизу списка. Обычно это запрещающее правило, действующее на трафик, который не заматчился на предыдущих правилах.
• Stealth Rule - обычно располагают после Management Rules, чтобы дропать трафик на Gateway незаматченный на предыдущих Management Rules. Stealth Rule защищает gateway от большинства атак. При этом нужные соединения отмечены правилами перед Stealth Rule

Explicit and Implied Rules

Explicit Rules - это правила, созданные Администратором.
Cleanup rule - это Default Explicit Rule.

Implied Rules - это невидимые в списке правила.
SMS создаёт два типа Implied Rules, которые позволяют работать Control Connections и Outgoing Packets.
Control Connections
Security Gateway создаёт группу Implied Rules, которые размещены First, Last and Before Last Explicit Rules.
Правила Control Connections определяются в настройках Global Properties - Accept Control Connections, их три типа:

• Gteway-specific traffic, необходимый для нормальной работы, например logging, management, key exchange
• Работа IKE, Reliable Datagram Protocol и др.
• Связь с различными типами серверов, например RADIOUS, CVP, UFP, TACACS, LDAP

Implied Rules определяются в настройках Global Properties, и не могут быть отредактированы.
Некоторые правила Implied Rules включены по умолчанию. Для настройки их позиции в rulebase смотрим настройки Global Properties - Accept Control Connections.

Таким образом, правила CP располагаются в следующем порядке:

Global Properties

Существуют настройки Global Properties.
Настройки на этом уровне применяются на все Gateways, управляемые данным SMS.
Например logging implied rules, Hit count, advanced VPN properties.
Некоторые настройки для Security Policies выполняются на уровне Global Properties.

Sections

Удобный способ для визуального разделения списка правил на именованные секции.

Publishing Policy

Созданная или измененная Policy сначала должна быть опубликована (Publish) на сервере SMS.
Publishing по сути обновляет политику или настройку на сервере SMS. Только после Publishing мы сможем сделать Install Policy непосредственно на Gateway.

Policy Packages

Policy Package - это группа политик разных типов которые устанавливаются на одну и ту же Installation Target.

Policy Types

Policy Package может в себя включать один или несколько Policy Types:
- Access Control
- QoS
- Desktop Security
- Threat Prevention
- HTTPS Inspection

Создание Alpha Standard Security Policy

Перед созданием политики нам необходимо создать объекты, с которыми политика будет работать.
Заходим в Smart Console - Security Policies

Создаём хосты:

Создаём объекты сетей:

Создаём объекты Network Group:

Создание Alpha Standard Security Policy

Идём:
Smart Console - Security Policies
По умолчанию там будет только Cleanup rule

Создадим следующие правила:

Implied Rules настроим следующим образом:
Main Menu - Global Properties

Установка политик

Выбираем Install

Для просмотра логов установки:
Logs&Monitor - Выбираем + для открытия новой вкладки - Install Policy log

В cli:

fw stat