防火墻安全策略分類有哪些

防火墻安全策略分類有三類：

• 域間安全策略

  域間安全策略用于控制域間流量的轉發（此時稱為轉發策略），適用于接口加入不同安全區域的場景。域間安全策略按IP地址、時間段和服務（端口或協議類型）、用戶等多種方式匹配流量，并對符合條件的流量進行包過濾控制（permit/deny）或高級的UTM應用層檢測。域間安全策略也用于控制外界與設備本身的互訪（此時稱為本地策略），按IP地址、時間段和服務（端口或協議類型）等多種方式匹配流量，并對符合條件的流量進行包過濾控制（permit/deny），允許或拒絕與設備本身的互訪。

• 域內安全策略

  缺省情況下域內數據流動不受限制，如果需要進行安全檢查可以應用域內安全策略。與域間安全策略一樣可以按IP地址、時間段和服務（端口或協議類型）、用戶等多種方式匹配流量，然后對流量進行安全檢查。例如：市場部和財務部都屬于內網所在的安全區域Trust，可以正常互訪。但是財務部是企業重要數據所在的部門，需要防止內部員工對服務器、PC等的惡意攻擊。所以在域內應用安全策略進行IPS檢測，阻斷惡意員工的非法訪問。

• 接口包過濾

  當接口未加入安全區域的情況下，通過接口包過濾控制接口接收和發送的IP報文，可以按IP地址、時間段和服務（端口或協議類型）等多種方式匹配流量并執行相應動作（permit/deny）。基于MAC地址的包過濾用來控制接口可以接收哪些以太網幀，可以按MAC地址、幀的協議類型和幀的優先級匹配流量并執行相應動作（permit/deny）。硬件包過濾是在特定的二層硬件接口卡上實現的，用來控制接口卡上的接口可以接收哪些流量。硬件包過濾直接通過硬件實現，所以過濾速度更快。