防火墙安全策略

安全策略：防火墙安身立命之本

在某些大型数据中心中，防火墙上的安全策略，可能有大几万条，经过历任工程师不停的增加安全策略，新工程师根据新的需求重新增加安全策略（肯能这个需求的安全策略可能已经在防火墙上部署有了），但是还是重新增加了，或者增加之后，导致业务中断，会重新增加修改安全策略等，导致防火墙的安全策略数量非常庞大，并且会有很多无用冗余的安全策略

在现网中调试防火墙时，只敢添加防火墙的安全策略，不敢删除防火墙的安全策略，可能删了某一条导致数据中心某个网络中断，那就坏事了

数据中心防火墙安全策略数量过多要怎么办，处理华为提供的Secomanager控制器的策略冗余分析意外，还有什么办法吗

一条原则：只增不删，换更高性能的防火墙，将防火墙上的安全策略原封不动的割接到新的防火墙上，极大程度的缓解防火墙匹配安全策略的速度

正常在一些大的数据中心中，防火墙的安全策略可能有几万条甚至十万条，如此数量的安全策略，可能有五千到一万的安全策略全都是冗余的，查看配置你会发现匹配数量都是0

安全策略和安全区域结合使用，使得防火墙具备防火墙访问控制功能

这个玩意儿非常重要的原因就是因为：哪些特定的流量需要开特权被我放过去，哪些特定的流量需要被我拦截掉

安全策略就是唐僧西天取经的通关文牒，就是一个特权说明。

**本身不能通的，我可以让你通。本身可以通的，我也可以让你不通。解释权在网络管理员手里

在什么情况下需要安全策略

通常来说，安全策略就是用于不同安全区域之间的流量如果想要互通的话，则需要参考安全策略的内容。安全策略就是基于安全区域进行工作的

例子：如果将两台主机通过不同的安全区域连接，并将两台主机划分到不同的安全区域中，此时路由正常，就是没有配置安全策略，就是不通

跨区域之间的流量必须要配置安全策略才可以，同安全区域之间互访无需安全策略

在安全策略中，有一条看不见摸不着的“保底”策略：正常情况下（不做任何修改时）会拒绝掉所有没有被“放行”的流量。这个默认的安全策略动作一般不会改变，（在测试环境下可以打开）

当通过命令行登录到设备之后，在安全策略中是查不到这条安全策略的，只能在web页面上看到

问题来了：防火墙上默认存在一条拒绝所有的策略，

跨区域之间的流量互访经过防火墙时需要匹配安全策略，同区域之间流量互访经过防火墙时不需要匹配安全策略，现阶段存在一条拒绝所有的安全策略，也就意味着只要经过防火墙的流量没有对应的安全策略允许通行，都会匹配默认的安全策略给拒绝掉

那么为什么还说同区域之间的流量互访可以直接允许通行呢

同区域之间的流量互访，是一个特例：

相当于我们在一个房间里面，同一个房间内的两个人互访，没必要开门去其他房间里面，只需要在本房间内找人即可，放在防火墙中也就意味着，没必要匹配防火墙的安全策略

虽然流量经过了防火墙，但是同区域之间互访可以不用匹配，现阶段先这么理解

安全策略匹配规则：

安全策略在匹配时，从上到下依次匹配。命中则终止，不命中则一直向下，直到匹配上默认的行为。

安全策略先后顺序不同，会导致同样的策略内容出现不同的匹配结果！！！！！

注意：尽量将精细的安全策略放在最上面，粗略的放在下面

安全策略的移动：

1、web页面上移动

2、命令行移动：

要求的管控：

    我们在安全策略中，可以把策略写的很粗糙，同样可以把策略写的很准确，这主要取决于你的需求。

    一条安全策略里，你写的东西越少，他管控的越粗糙，你写的东西越多，他管控的越精细。

    （你妈妈说晚上回家写完数学作业我就不骂你了）

   （你妈妈说晚上回家把语数外政史地都写完我就不骂你了）

正常情况下，管控一个流量，我们最好是精细到协议号/端口号

source-zone

destination-zone

source-ip

destination-ip

protocal

time-range

action permit /deny