三、防御保护---防火墙安全策略篇

一、什么是安全策略

传统的包过滤防火墙 — 其本质为ACL列表，根据数据报中的特征进行过滤，之后对比规制，执行动作。
五元组 — 源IP，目标IP，源端口，目标端口，协议

安全策略 — 相较于ACL的改进之处在于，首先，可以在更细的颗粒度下匹配流量，另一方面是可以完成内容安全的检测。

安全策略:1，访问控制（允许和拒绝）
2，内容检测 — 如果允许通过，则可以进行内容检测

二、安全策略的组成

每一条安全策略都是由匹配条件和动作组成的规则。防火墙接收到报文以后，将报文的属性与安全策略的匹配条件进行匹配。如果所有条件都匹配，则此报文成功匹配安全策略，防火墙按照该安全策略的动作处理这个报文及其后续双向流量。因此，安全策略的核心元素是匹配条件和动作。

1.匹配条件

安全策略的匹配条件描述了流量的特征，用于筛选出符合条件的流量。安全策略的匹配条件包括以下要素。

谁：谁发出的流量，即用户。在Agile Controller单点登录场景下，还可以指定用户的接入方式、用户使用的终端设备类型。
从哪里来，到哪里去：流量的来源和目的，包括源/目的安全区域、源/目的IP地址、源/目的地区和VLAN。地区本质上是IP地址在地理区域上的映射。
干什么：访问的服务、应用或者URL分类。
什么时候：即时间段。
以上匹配条件，在一条安全策略中都是可选配置；但是一旦配置了，就必须全部符合才认为匹配，即这些匹配条件之间是“与”的关系。一个匹配条件中如果配置了多个值，多个值之间是“或”的关系，只要流量匹配了其中任意一个值，就认为匹配了这个条件。

一条安全策略中的匹配条件越具体，其所描述的流量越精确。你可以只使用五元组（源/目的IP地址、端口、协议）作为匹配条件，也可以利用防火墙的应用识别、用户识别能力，更精确、更方便地配置安全策略。

2.动作

安全策略的基本动作有两个：允许和禁止，即流量能否通过。

如果动作为允许，你还可以对此符合此策略的流量执行进一步的内容安全检查。华为防火墙的内容安全检查功能包括反病毒AV、入侵防御IPS、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤、APT防御、DNS过滤等。每项内容安全检查都有各自的适用场景和处理动作。防火墙如何处理流量，由所有内容安全检查的结果共同决定。
如果动作为禁止，你还可以选择发送向服务端或客户端反馈报文，快速结束会话，减少系统资源消耗。
用户、终端设备、时间段、地址、地区、服务、应用、URL分类等匹配条件，以及内容安全检查所需的各种配置文件，在防火墙上都以对象的形式存在。你可以先