第1章

安全策略

防火墙的基本目的是保护特定网络免受“不信任”网络的攻击，同时允许合法的通信。用于实现这一目的的就是安全策略。安全策略是管理员配置的业务规则，防火墙根据规则检查经过防火墙的流量。安全策略的配置决定了哪些流量可以通过防火墙，哪些流量应该被阻断。

安全策略是防火墙的核心，防火墙根据安全策略执行安全检查，保障网络安全。通过安全策略，防火墙可控制内网与外网之间的访问、内网不同子网之间的访问，也可以控制对防火墙自身的访问。

1.1

安全策略基础知识

本节首先介绍安全策略的组成和配置方式；然后说明安全策略的匹配规则，同时引出默认策略的概念，澄清本地安全策略与接口访问控制的关系；最后，给出安全策略的基本配置原则。

1.1.1

安全策略的组成

每一条安全策略都是由匹配条件和动作组成的，安全策略的组成如图1-1所示。防火墙接收到报文以后，将报文的属性与安全策略的匹配条件进行匹配。如果所有条件都匹配，则此报文成功匹配安全策略，防火墙按照该安全策略的动作处理这个报文及其后续双向流量。因此，安全策略的核心元素是匹配条件和动作。

图1-1 安全策略的组成

1.匹配条件

安全策略的匹配条件描述了流量的特征，用于筛选出符合条件的流量。安全策略的匹配条件包括以下要素。

Who：谁发出的流量，即用户。在Agile Controller单点登录场景下，还可以指定用户的接入方式、用户使用的终端设备类型。

Where：流量的来源和目的。包括源/目的安全区域、源/目的IP（Internet Protocol，互联网协议）地址、源/目的地区和VLAN（Virtual Local AreaNetwork，虚拟专用网）。

What：访问的服务、应用或者URL（Uniform Resource Locator，统一资源定位符）分类。

When：即时间段。在安全策略中指定时间段，可以控制安全策略的生效时间，进而根据时间指定不同的动作。

以上匹配条件，在一条安全策略中都是可选配置；但是一旦配置了，就必须全部符合才认为匹配，即这些匹配条件之间是“与”的关系。一个匹配条件中如果配置了多个值，多个值之间是“或”的关系，只要流量匹配了其中任意一个值，就认为匹配了这个条件。

一条安全策略中的匹配条件越具体，其所描述的流量越精确。用户可以只使用五元组（源/目的IP地址、源/目的端口、协议）作为匹配条件，也可以利用防火墙的应用识别、用户识别能力，更精确、更方便地配置安全策略。防火墙使用“对象”来定义各种匹配条件，关于如何在安全策略中使用对象，请参考第1.3节。

2.动作

安全策略的基本动作有两个：允许和禁止，即是否允许流量通过。

如果动作为允许，可以对符合此策略的流量执行进一步的内容安全检查。华为防火墙的内容安全检查功能包括反病毒、入侵防御、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤、APT（Advanced Persistent Threat，高级持续性威胁）防御、DNS（Domain Name Service，域名服务）过滤等。每项内容安全检查都有各自的适用场景和处理动作。防火墙如何处理流量，由所有内容安全检查的结果共同决定。

如果动作为禁止，可以选择向服务器或客户端发送反馈报文，快速结束会话，减少系统资源消耗。

用户、终端设备、时间段、源/目的IP地址、源/目的地区、服务、应用、URL分类等匹配条件，在防火墙上都以对象的形式存在。用户可以先创建对象，然后在多个安全策略中引用，具体方法请参考第1.3节。

3.策略标识

为了便于管理，安全策略还提供了如下属性。

名称：用于唯一标识一条安全策略，不可重复。为每一条安全策略指定一个有意义的名称（如安全策略的目的），能提高维护工作效率。