1、安全策略仅控制单播报文,默认情况下,组播报文以及广播报文不受防火墙安全策略的控制,防火墙是直接转发组播报文以及广播报文,适用于BGP、BFD、DHCP、LDP、OSPF、DHCPv6,用户需要为此类协议的单播报文配置安全策略,若防火墙想快速接入网络,可以使用以下命令取消该策略,之后,上述协议的单播报文不受安全策略控制。
undo firewall packet-filter basic-protocol enable
2、二层组播报文,用户也可以开启安全策略控制功能,命令如下,开启功能后,用户需要为二层组播报文配置安全策略,除了二层邻居发现组播报文。
firewall l2-multicast packet-filter enable
3、对于访问防火墙的管理协议,若开启了接口访问控制,则不需要配置安全策略,其优先级高于安全策略。
4、华为防火墙是状态检测防火墙,用户只需要为报文的发起者配置安全策略,这与上篇文章“首包”以及会话表有关。👉防火墙安全策略基础知识👈
5、对于多通道协议,如FTP,只需要在控制通道配置安全策略。华为防火墙具有ASPF应用层包过滤技术,该技术会自动检测FTP报文的应用层信息,生成Server-MAP表,FTP的数据信息可通过查询该表放行,无需额外配置安全策略。
6、源地址和目的地址处于同个安全区域的流量,默认不需要配置安全策略。
7、防火墙转发流程中跳过安全策略检测的业务,不需要配置安全策略,如防火墙配置了认证策略,用户访问请求触发了Protal认证时,不需要为认证开放安全策略,或者防火墙双机热备,不用为两台防火墙之间的HRP报文配置安全策略。
参考资料:防火墙和VPN技术与实践——李学昭