華為防火墻有哪些安全策略

防火墻的安全策略是管理員根據實際需求來進行設置的，無法說出防火墻有哪些安全策略，華為防火墻的安全策略是由匹配條件+動作來組成的，因此，安全策略的核心元素是匹配條件和動作。

• 匹配條件

  安全策略的匹配條件描述了流量的特征，用于篩選出符合條件的流量。安全策略的匹配條件包括以下要素。

  • 誰：誰發出的流量，即用戶。在Agile Controller單點登錄場景下，還可以指定用戶的接入方式、用戶使用的終端設備類型。

  • 從哪里來，到哪里去：流量的來源和目的，包括源/目的安全區域、源/目的IP地址、源/目的地區和VLAN。地區本質上是IP地址在地理區域上的映射。

  • 干什么：訪問的服務、應用或者URL分類。

  • 什么時候：即時間段。

    以上匹配條件，在一條安全策略中都是可選配置；但是一旦配置了，就必須全部符合才認為匹配，即這些匹配條件之間是“與”的關系。一個匹配條件中如果配置了多個值，多個值之間是“或”的關系，只要流量匹配了其中任意一個值，就認為匹配了這個條件。

    一條安全策略中的匹配條件越具體，其所描述的流量越精確。你可以只使用五元組（源/目的IP地址、端口、協議）作為匹配條件，也可以利用防火墻的應用識別、用戶識別能力，更精確、更方便地配置安全策略。

• 動作

  安全策略的基本動作有兩個：允許和禁止，即流量能否通過。

  • 如果動作為允許，你還可以對此符合此策略的流量執行進一步的內容安全檢查。華為防火墻的內容安全檢查功能包括反病毒AV、入侵防御IPS、URL過濾、文件過濾、內容過濾、應用行為控制、郵件過濾、APT防御、DNS過濾等。每項內容安全檢查都有各自的適用場景和處理動作。防火墻如何處理流量，由所有內容安全檢查的結果共同決定。

  • 如果動作為禁止，你還可以選擇發送向服務端或客戶端反饋報文，快速結束會話，減少系統資源消耗。

    用戶、終端設備、時間段、地址、地區、服務、應用、URL分類等匹配條件，以及內容安全檢查所需的各種配置文件，在防火墻上都以對象的形式存在。你可以先創建對象，然后在多個安全策略中引用。

• 策略標識

  為了便于管理，安全策略還提供了如下屬性。

  • 名稱：用于唯一標識一條安全策略，不可重復。為每一條安全策略指定一個有意義的名稱（如安全策略的目的），能提高維護工作效率。
  • 描述：用于記錄安全策略的其他相關信息。例如，你可以在這個字段記錄觸發此安全策略的的申請流程編號。這樣，在例行審計時可以快速了解安全策略的背景，比如什么時間引入此安全策略，誰提出的申請，其有效期多久，等等。
  • 策略組：把相同目的的多條安全策略加入到一個策略組中，可以簡化管理。你可以移動策略組，啟用/禁用策略組等。
  • 標簽：標簽是安全策略的另一種標識方式，你可以給一條安全策略添加多個標簽，通過標簽可以篩選出具有相同特征的策略。例如，你可以根據安全策略適用的應用類型，添加高風險應用、公司應用等標簽。在為安全策略設置標簽時，建議使用固定的前綴，如用“SP_”代表安全策略，并用顏色區分不同的動作。這會使標簽更容易理解。

回答所涉及的環境：聯想天逸510S、Windows 10。