H3C防火墙基础配置2-配置安全策略

1 安全策略简介

     安全策略对报文的控制是通过安全策略规则实现的，规则中可以设置匹配报文的过滤条件，处理报文的动作和对于报文内容进行深度检测等功能。

（1）规则的名称和编号

       安全策略中的每条规则都由唯一的名称和编号标识。名称必须在创建规则时由用户手工指定；而编号既可以手工指定，也可以由系统自动分配。

（2）规则的过滤条件

      每条规则中均可以配置多种过滤条件，具体包括：源安全域、目的安全域、源 IP 地址、源 MAC 地址、目的 IP 地址、用户、用户组、应用、应用组、VPN 和服务。每种过滤条件中（除 VPN 外）均可以配置多个匹配项，比如源安全域过滤条件中可以指定多个源安全域等。

(3)规则与会话管理

     规则基于会话对报文进行处理。规则允许报文通过后，设备会创建与此报文对应的会话表项，用于记录有关此报文的相关信息。

     安全策略规则触发创建的会话，不仅可以根据报文的协议状态或所属的应用设置会话的老化时间，还可以基于规则设置会话的老化时间。规则中设置的会话老化时间优先级高于会话管理模块设置的会话老化时间。

 

 

2 安全策略对报文的处理

(1)  将报文的属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系，即报文与某一个过滤条件中的任意一项匹配成功，则报文与此过滤条件匹配成功；若报文与某一个过滤条件中的所有项都匹配失败，则报文与此过滤条件匹配失败。

(2)  若报文与某条规则中的所有过滤条件都匹配成功（用户与用户组匹配一项即可，应用与应用组匹配一项即可，源 IP 地址与源 MAC 地址匹配一项即可），则报文与此条规则匹配成功。若有一个过滤条件不匹配，则报文与此条规则匹配失败，报文继续匹配下一条规则。以此类推，直到最后一条规则，若报文还未与规则匹配成功，则设备会丢弃此报文。

(3)  若报文与某条规则匹配成功，则结束此匹配过程，并对此报文执行规则中配置的动作。

若规则的动作为“丢弃”，则设备会丢弃此报文；

若规则的动作为“允许”，则设备继续对报文做第 4 步处理；

(4)  若引用了 DPI 业务，则会对此报文进行 DPI 深度安全检测；若未引用 DPI 业务，则直接允许此报文通过。

3 新旧转换

    设备启动时，如果配置文件中仅存在对象策略，则设备会自动执行 security-policy disable

    命令关闭安全策略功能；如果配置文件中对象策略和安全策略均不存在或存在安全策略，则设备自动开启安全策略功能。安全策略功能与对象策略功能在设备上不能同时使用，当安全策略功能处于开启状态时，首次进入安全策略视图后，对象策略功能立即失效。因此在管理员手工逐条将对象策略切换为安全策略时，为避免切换过程中造成业务长期中断