安全策略簡介

防火墻的基本作用是保護特定網絡免受“不信任”的網絡的攻擊，但是同時還必需允許兩個網絡之間可以進行合法的通信。安全策略的作用就是對通過防火墻的數據進行檢驗，符合安全策略的合法數據流才能通過防火墻。

可以在不同的域間方向應用不同的安全策略進行不同的控制。

安全策略是由匹配條件和動作（允許/拒絕）組成的控制規則，可以基于IP、端口、協議等屬性進行細化的控制。

缺省情況下，所有域間的所有方向都禁止報文通過，可以根據需求配置允許允許那些數據通過防火墻的安全策略。

注：對于路由、ARP等底層協議一般是不受安全策略控制的，直接允許通過。當然這和具體產品實現有關，產品間可能有差異。

安全策略的應用方向

在一個域間有Inbound方向和Outbound方向，但對于同一條數據流，在訪問發起的方向上應用安全策略即可，反向報文 不需要額外的策略。這是因為防火墻是狀態檢測設備，對于同一條數據流只有首包匹配安全策略并建立會話，后續包都匹配會話轉發。

安全策略的匹配

防火墻將流量的屬性與安全策略的條件進行匹配。如果所有條件都匹配，則此流量成功匹配安全策略。如果其中有一個條件不匹配，則未匹配安全策略。

同一域間或域內應用多條安全策略，策略的優先級按照順序進行排序，越先配置的策略優先級越高，越先匹配報文。如果報文匹配到一條策略就不再繼續匹配剩下的策略，如果沒有匹配到任何策略就按缺省包過濾處理。所以配置策略要先粗后細。

安全策略發展史

1.傳統防火墻

基于ACL的包過濾。

• 通過在域間引用ACL實現包過濾
• 匹配條件：報文頭的五元組（源/目的地址、源/目的端口號、協議號）和時間段
• 動作包括拒絕和允許報文通過

2.UTM

融合UTM的安全策略（包過濾+UTM）

• 在包過濾基礎上增加UTM處理，包括IPS/AV/URL過濾等
• 動作為permit的報文繼續進行UTM處理，通過UTM檢測才真正允許通過
• 功能疊加，應用未作為統一的匹配條件，而是存在獨立的應用控制策略，對用戶體驗和處理性能都有一定影響

3.NGFW

• 一體化安全策略（五元組+應用+用戶+內用安全）
• 真正的一體化策略，可一次識別流量的應用類型、攜帶的內容等數據，供內容安全功能使用
• 增加應用、用戶兩個匹配條件，解決了基于端口、IP識別流量不準確的問題
• 應用、內容、威脅感知能力增強