---

一.安全策略概述

概述：

        防火墙安全策略的作用在于加强网络系统的安全性，保护网络免受恶意攻击、非法访问和数据泄露的威胁。它可以限制和控制网络流量，识别和阻止网络攻击，过滤和审查数据内容，提供安全的远程访问，并监控和记录网络活动。

安全策略的作用：

1. 访问控制：防火墙通过在网络边界上设置访问规则，控制网络流量的进出，限制不必要的访问并阻止潜在的威胁。它可以根据源IP地址、目标IP地址、端口号和协议类型等信息来定义规则，仅允许经过授权的流量通过。

2. 防止网络攻击：防火墙可以检测和阻止常见的网络攻击，如端口扫描、DDoS攻击、SQL注入和跨站脚本攻击等。它可以根据预定义的攻击模式或异常行为来识别和阻止恶意流量。

3. 数据过滤和内容审查：防火墙可以根据设定的规则对网络流量进行内容过滤和审查。它可以检测和阻止包含敏感数据、恶意软件或违反政策的数据传输。这有助于保护网络系统免受数据泄露、恶意软件和非法内容的影响。

4. 虚拟专用网络（VPN）安全：防火墙可以提供VPN服务，通过加密和隧道技术为远程访问用户提供安全的连接。它可以验证用户的身份并加密数据传输，确保远程访问的安全性和隐私性。

5. 监控和日志记录：防火墙可以监控网络流量，记录和分析网络活动。它可以生成日志文件，记录访问尝试、攻击行为和异常流量等信息。这有助于及时检测和应对网络安全事件，并进行安全审计和调查。

具体流程如下图：

• 

• 

包过滤防火墙的安全风险

        包过滤防火墙的主要缺点是在检测攻击状态方面有限。它主要通过检查网络数据包的源和目的IP地址、端口号以及协议类型来判断是否允许数据包通过。这种方法容易被攻击者绕过，因为攻击者可以使用各种技术来隐藏其攻击的特征，例如使用动态IP地址、改变端口号或使用其他协议等。

状态检测防火墙

• 命令行开启状态检测

[USG6000V1]display firewall session table --- 查看会话表
[USG6000V1]display firewall session table verbose -- 查看会话表详情

• Web页面开启状态检测 
• 

 状态检测防火墙访问过程

        状态检测防火墙引入了状态跟踪机制。它不仅仅检查每个数据包的源和目的地址、端口和协议等基本信息，还会记录每个连接的状态信息，以便能够识别和分析应用层协议的特征和上下文。

通过跟踪每个连接的状态，状态检测防火墙可以实施更精细的访问控制策略。它可以识别和过滤具有恶意意图的数据包，如针对特定应用层协议的攻击。此外，它还可以执行会话管理和应用层代理功能，以提供更高级的安全功能。

会话表概念

        会话表会将报文中的五元组进行哈希计算并利用哈希算法任意长度输入，定长输出的特点，哈希计算将这些属性结合起来生成一个唯一的哈希值，用于标识每个会话表项。这样，防火墙可以根据哈希值快速查找和识别会话表项，并对数据包进行相应的处理。

        会话表中的记录存在老化时间，若长时间没有流量经过防火墙从而触发会话表更新，该会话表将被删除；如果会话表中的记录被删掉之后，相同五元组的流量再通过防火墙，则应该由其首包重新匹配安全策略，创建会 话表，如果无法创建会话表，则将丢弃该数据流的数据。

安全策略与传统防火墙的区别

防火墙安全策略和传统防火墙列表在实现网络安全方面有一些区别。以下是一些主要的区别：

1. 精细化的访问控制：传统防火墙列表通常基于IP地址、端口号等常规规则进行访问控制。而防火墙安全策略可以更灵活地基于更多因素来决定是否允许或禁止特定流量，例如应用程序、用户身份、数据包内容等。这样可以实现更精细化的访问控制。

2. 上下文感知的安全策略：传统防火墙列表通常只能基于单个数据包进行决策，而防火墙安全策略可以基于整个会话的上下文信息来做出决策。这意味着它可以考虑到会话的历史、状态和目的地等信息，从而更全面地评估安全威胁。

3. 内容过滤和检测：防火墙安全策略可以对数据包内容进行更深入的检测和过滤。它可以检测和拦截包含恶意代码、病毒、垃圾邮件等不安全内容的数据包。

4. 适应性安全策略：防火墙安全策略可以根据实时的网络情况和威胁情报进行调整和更新。它可以通过学习网络流量模式和威胁情报来自动适应不断变化的安全环境。

总的来说，防火墙安全策略相对于传统防火墙列表具有更高的灵活性、精细化的访问控制、上下文感知的安全决策、内容过滤和适应性安全策略等优势，颗粒度更细致，这使得它能够更有效地保护网络免受各种威胁和攻击。

具体区别如下图：

二.案例分析

需求：

DMZ区存在两台服务器，现在要求生产区的设备仅能在办公时间（9：00 - 18：00）访问，办公区的设备全天都可以访问。

 基础配置：（正常数通）

• SW3配置

[Huawei]sysname sw3	
[sw3]undo info-center enable 
Info: Information center is disabled.
[sw3]vlan 2
[sw3-vlan2]q
[sw3]vlan 3
[sw3-vlan3]q
[sw3]interface GigabitEthernet 0/0/2
[sw3-GigabitEthernet0/0/2]port link-type access 	
[sw3-GigabitEthernet0/0/2]port default vlan 2
[sw3-GigabitEthernet0/0/2]q
[sw3]interface GigabitEthernet 0/0/3
[sw3-GigabitEthernet0/0/3]port link-type access 
[sw3-GigabitEthernet0/0/3]port default vlan 3
[sw3-GigabitEthernet0/0/3]q
[sw3]interface GigabitEthernet 0/0/1
[sw3-GigabitEthernet0/0/1]port link-type trunk 
[sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

•  FW1配置

[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 169.254.93.22 16
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

• 防火墙管理DMZ区域的接口

• 分别创建两个安全区域对应办公区和生产区

•  创建子接口分别对应办公区以及生产区

 

• 完成剩余设备基础配置实现正常通信

 安全策略配置

注：未设置任何安全策略时防火墙默认采用拒绝所有访问的策略

• 新建生产区域和DMZ区域的安全策略

注：新建策略中顶栏有策略模板可供使用，提高生产效率

注：下述条件为安全策略中的条件匹配，各条件之间是“或”的关系

•  配置生产区策略满足：生产区的设备仅能在办公时间（9：00 - 18：00）访问

 验证生产区域安全策略是否生效

•  配置办公区域安全策略：办公区的设备全天都可以访问。

•  验证办公区域安全策略是否生效
• 
• 

 

---