防火墙安全策略（基本配置）

1. 防火墙基本概念
   1. 安全区域（Security Zone），简称为区域（Zone），是防火墙的重要概念。防火墙大部分的安全策略都基于安全区域实施。
   2. 一个安全区域是防火墙若干接口所连网络的集合，一个区域内的用户具有相同的安全属性。
   3. 
2.  默认安全区域

华为防火墙确认已创建四个区域，untrust、dmz、trust和local区域。安全区域有以下特性：

1. 1. 默认的安全区域不能删除，也不允许修改安全优先级。
   2. 每个Zone都必须设置一个安全优先级（Priority），值越大，则Zone的安全优先级越高。
   3. 用户可根据自己的需求创建自定义的Zone。
   4. 防火墙默认安全区域均为小写字母，且大小写敏感，包括：
      1. 非受信区域（untrust）：通常用于定义Internet等不安全的网络。
      2. 非军事化区域（dmz）：通常用于定义内网服务器所在区域。因为这种设备虽然部署在内网，但是经常需要被外网访问，存在较大安全隐患，同时一般又不允许其主动访问外网，所以将其部署一个优先级比trust低，但是比untrust高的安全区域中。
      3. DMZ（Demilitarized Zone）起源于军方，是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙设备引用了这一术语，指代一个逻辑上和物理上都与内部网络和外部网络分离的安全区域。
         1. DMZ安全区域很好地解决了服务器的放置问题。该安全区域可以放置需要对外提供网络服务的设备，如WWW服务器、FTP服务器等。上述服务器如果放置于内部网络，外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络；如果放置于外部网络，则无法保障它们的安全。
   5. 受信区域（trust）：通常用于定义内网终端用户所在区域。
   6. 本地区域（local）：local区域定义的是设备本身，包括设备的各接口本身。凡是由设备构造并主动发出的报文均可认为是从Local区域中发出，凡是需要设备响应并处理（而不仅是检测或直接转发）的报文均可认为是由local区域接收。用户不能改变local区域本身的任何配置，包括向其中添加接口。
      1. 1. 由于local区域的特殊性，在很多需要设备本身进行报文收发的应用中，需要开放对端所在安全区域与local区域之间的安全策略。
   8. 
2.  区域间（Interzone）示例
   1. 流量的源、目的地址决定了互访的区域。本例1中PC访问防火墙的接口的流量实际上是从trust zone到达local zone；本例2中PC访问Internet的流量实际上是从trust zone到达untrust zone。
   2. 
3.  防火墙基本概念：安全策略
   1. 安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。
   2. 当防火墙收到流量后，对流量的属性（五元组、用户、时间段等）进行识别，然后与安全策略的条件进行匹配。如果条件匹配，则此流量被执行对应的动作。
   3. 
4.  安全策略组成
   1. 安全策略的组成有匹配条件、动作和安全配置文件（可选）。安全配置文件实现内容安全。
   2. 安全策略动作如果为“允许”则可配置安全配置文件，如果为“禁止”则可配置反馈报文。
   3. 动作说明：
      1. 允许：如果动作为“允许”，则对流量进行如下处理：
      2. 如果没有配置内容安全检测，则允许流量通过。
      3. 如果配置内容安全检测，最终根据内容安全检测的结论来判断是否对流量进行放行。内容安全检测包括反病毒、入侵防御等，它是通过在安全策略中引用安全配置文件实现的。如果其中一个安全配置文件阻断该流量，则防火墙阻断该流量。如果所有的安全配置文件都允许该流量转发，则防火墙允许该流量转发。
   4. 禁止：表示拒绝符合条件的流量通过。
      1. 如果动作为“禁止”，防火墙不仅可以将报文丢弃，还可以针对不同的报文类型选择发送对应的反馈报文。发起连接请求的客户端/服务器收到防火墙发送的阻断报文后，可以快速结束会话并让用户感知到请求被阻断。
      2. Reset客户端：防火墙向TCP客户端发送TCP reset报文。
      3. Reset服务器：防火墙向TCP服务器发送TCP reset报文。
      4. ICMP不可达：FW向报文客户端发送ICMP不可达报文。
   5. 更多详细信息，可以参考文档，“安全策略”章节，https://support.huawei.com/hedex/hdx.do?docid=EDOC1100084128&lang=zh&idPath=24030814%7C9856724%7C21430823%7C22984765%7C23176238。
   7. 
5.  安全策略的匹配过程
   1. 当配置多条安全策略规则时，安全策略的匹配按照策略列表的顺序执行，即从策略列表顶端开始逐条向下匹配。如果流量匹配了某个安全策略，将不再进行下一个策略的匹配。
   2. 安全策略的配置顺序很重要，需要先配置条件精确的策略，再配置宽泛的策略。
   3. 系统默认存在一条缺省安全策略default。缺省安全策略位于策略列表的最底部，优先级最低，所有匹配条件均为any，动作默认为禁止。如果所有配置的策略都未匹配，则将匹配缺省安全策略default。
   5. 
6.  防火墙基本概念：会话表
   1. 会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项，是防火墙转发报文的重要依据。
   2. 防火墙采用了基于“状态”的报文控制机制：只对首包或者少量报文进行检测就确定一条连接的状态，大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP和ICMP报文时都需要查询会话表，来判断该报文所属的连接并采取相应的处理措施。
   3. 本例中PC1向PC2发起HTTP连接，所以在防火墙会话表中标示出“http”协议和连接信息，并识别出此流量在公共路由表中被转发（图中VPN:public）。
   4. 
7.  会话表的创建和包处理过程
   1. 防火墙状态检测开启情况下，流量的首包会创建会话表项，后续包即可直接匹配会话表项。
   2. 本流程只是一个示意图，展示了华为防火墙各个模块的基本处理顺序。实际不同的报文处理并非严格按照此流程图依次进行（若无对应配置），且与具体产品实现相关。
   3. 更多详细信息，可以参考指定型号防火墙产品文档，“报文转发流程”章节。
   4. 
8.  会话表的老化时间与长连接
   1. 防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配，则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。
   2. 但是对于某些特殊业务中，一条会话的两个连续报文可能间隔时间很长。例如：
      1. 用户通过FTP下载大文件，需要间隔很长时间才会在控制通道继续发送控制报文。
      2. 用户需要查询数据库服务器上的数据，这些查询操作的时间间隔远大于TCP的会话老化时间。
   3. 此时如果其会话表项被删除，则该业务会中断。长连接（Long Link）机制可以给部分连接设定超长的老化时间，有效解决这个问题。

1.  多通道协议在防火墙上的问题
   1. 如果在防火墙上配置严格的单向安全策略，那么防火墙将只允许业务单方向发起访问。这会导致一些特殊的协议无法工作，例如FTP。
   2. FTP主动模式传输文件时，首先需要客户端主动向服务器端发起控制连接，