安全策略简介

防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必需允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据进行检验，符合安全策略的合法数据流才能通过防火墙。

可以在不同的域间方向应用不同的安全策略进行不同的控制。

安全策略是由匹配条件和动作（允许/拒绝）组成的控制规则，可以基于IP、端口、协议等属性进行细化的控制。

缺省情况下，所有域间的所有方向都禁止报文通过，可以根据需求配置允许允许那些数据通过防火墙的安全策略。

注：对于路由、ARP等底层协议一般是不受安全策略控制的，直接允许通过。当然这和具体产品实现有关，产品间可能有差异。

安全策略的应用方向

在一个域间有Inbound方向和Outbound方向，但对于同一条数据流，在访问发起的方向上应用安全策略即可，反向报文 不需要额外的策略。这是因为防火墙是状态检测设备，对于同一条数据流只有首包匹配安全策略并建立会话，后续包都匹配会话转发。

安全策略的匹配

防火墙将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配，则此流量成功匹配安全策略。如果其中有一个条件不匹配，则未匹配安全策略。

同一域间或域内应用多条安全策略，策略的优先级按照顺序进行排序，越先配置的策略优先级越高，越先匹配报文。如果报文匹配到一条策略就不再继续匹配剩下的策略，如果没有匹配到任何策略就按缺省包过滤处理。所以配置策略要先粗后细。

安全策略发展史

1.传统防火墙

基于ACL的包过滤。

• 通过在域间引用ACL实现包过滤
• 匹配条件：报文头的五元组（源/目的地址、源/目的端口号、协议号）和时间段
• 动作包括拒绝和允许报文通过

2.UTM

融合UTM的安全策略（包过滤+UTM）

• 在包过滤基础上增加UTM处理，包括IPS/AV/URL过滤等
• 动作为permit的报文继续进行UTM处理，通过UTM检测才真正允许通过
• 功能叠加，应用未作为统一的匹配条件，而是存在独立的应用控制策略，对用户体验和处理性能都有一定影响

3.NGFW

• 一体化安全策略（五元组+应用+用户+内用安全）
• 真正的一体化策略，可一次识别流量的应用类型、携带的内容等数据，供内容安全功能使用
• 增加应用、用户两个匹配条件，解决了基于端口、IP识别流量不准确的问题
• 应用、内容、威胁感知能力增强