安全策略

防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。

基于ACL的包过滤

前期已经提到这种单纯的包过滤正在逐步退出历史舞台，这里只简单介绍一下。

包过滤的处理过程是先获取需要转发数据包的报文头信息，然后和设定的ACL规则进行比较，根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL。

因此包过滤只能基于IP地址、端口号等控制流量是否可以通过防火墙，无法准确识别应用。

基于ACL的包过滤的配置方式是先配置好包含多条数据流规则（rule）的ACL，其中每条rule包含数据流的匹配条件和permit/deny动作，然后ACL再被域间包过滤引用。一个域间只能引用一个ACL。

 

 

发展中期的UTM设备安全策略

随着USG2000/5000系列UTM产品的推出，“安全策略”这个概念被提出。之所以不叫包过滤了，是因为策略中集成了UTM检测功能，配置方式也由ACL方式变为Policy方式。动作为permit的安全策略可以引用IPS、AV等UTM策略，对流量进一步进行UTM检测，通过检测的流量才能真正通过防火墙。

此时的安全策略已经有一体化安全处理的雏形了，将防火墙包过滤功能和内容安全功能进行了融合，但是还有一定局限性。

UTM更多的是体现功能集成，将传统防火墙、入侵防御设备、反病毒设备等集成到一个硬件。UTM设备的多个安全功能之间的紧密度不高，报文匹配安全策略的匹配条件后需要逐一进入各个UTM模块进行检测和处理，如果同时开启多个安全功能，设备性能往往大幅下降。另外基于应用的管控需要配置额外的应用控制策略，不能直接将应用类型作为策略的匹配条件。例如需要禁止员工使用IM应用，此时要额外配置禁止IM应用的“应用控制策略”然后再在安全策略引用生效。也就是应用识别与管控需要进入另外一个模块处理。

NGFW的一体化安全策略

到了NGFW阶段，对一体化、应用识别与管控、高性能等要求更高。安全策略充分体现了这些特质，通过应用、用户、内容、威胁等多个维度的识别将模糊的网络环境映射为实际的业务环境，从而实现精准的访问控制和安全检测。

1、 NGFW之前的安全策略都是应用在域间的（安全区域必配），NGFW的安全策略应用在全局，安全区域与IP地址等一样只是作为可选的匹配条件。而且安全区域支持多选。

这样配置更灵活，可以不关注安全区域、域间方向，只需关注访问的源/目的。另外还可以实现跨多域的访问的一次性配置。

2、缺省包过滤也是全局只有一条，不再区分域间。

3、增加应用作为匹配条件，对应用的阻断/允许直接在安全策略中配置。

4、增加用户作为匹配条件，实现基于用户的管控，即使IP发生变化用户的权限也是不变的。

    也就是应用和用户的识别都融入了防火墙安全策略的处理流程中，无论从配置还是设备 处理上都体现了“一体化”。

5、通过高性能的一体化检测引擎实现一次扫描、实时检测，即使开启所有内容安全功能，也不会造成设备性能的大幅下降。