如何配置防火墙

前文提到防火墙通过规则控制流量，这个规则在防火墙上被称为“安全策略”。安全策略是防火墙产品的一个基本概念和核心功能，防火墙通过安全策略来提供安全管控能力。

如图1-4所示，安全策略由匹配条件、动作和内容安全配置文件组成，针对允许通过的流量可以进一步做反病毒、入侵防御等内容安全检测。

所有匹配条件在一条安全策略中都是可选配置；但是一旦配置了，就必须全部符合才认为匹配，即这些匹配条件之间是“与”的关系。一个匹配条件中如果配置了多个值，多个值之间是“或”的关系，只要流量匹配了其中任意一个值，就认为匹配了这个条件。

一条安全策略中的匹配条件越具体，其所描述的流量越精确。你可以只使用五元组（源/目的IP地址、端口、协议）作为匹配条件，也可以利用防火墙的应用识别、用户识别能力，更精确、更方便地配置安全策略。

穿墙安全策略与本地安全策略

穿过防火墙的流量、防火墙发出的流量、防火墙接收的流量均受安全策略控制。如图1-5所示，内网PC既需要Telnet登录防火墙管理设备，又要通过防火墙访问Internet。此时需要为这两种流量分别配置安全策略。

类型

名称

源安全区域

目的安全区域

源地址/地区

目的地址/地区

服务

动作

穿墙安全策略

Allow PC access Internet

trust

untrust

10.1.1.2/24

any

any

permit

本地安全策略

Allow PC telnet firewall

trust

local

10.1.1.2/24

10.1.1.1/24

telnet

permit

尤其讲下本地安全策略，也就是与local域相关相关的安全策略。以上例子中，位于trust域的PC登录防火墙，配置trust访问local的安全策略；反之如果防火墙主动访问其他安全区域的对象，例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等，需要配置local到其他安全区域的安全策略。记住一点防火墙本身是local安全区域，接口加入的安全区域代表接口连接的网络属于此安全区域，这样就可以分清防火墙本身和外界网络的域间关系了。

缺省安全策略与安全策略列表

防火墙存在一条缺省安全策略default，默认禁止所有的域间流量。缺省策略永远位于策略列表的最底端，且不可删除。

用户创建的安全策略，按照创建顺序从上往下排列，新创建的安全策略默认位于策略列表底部，缺省策略之前。防火墙接收到流量之后，按照安全策略列表从上向下依次匹配。一旦某一条安全策略匹配成功，则停止匹配，并按照该安全策略指定的动作处理流量。如果所有手工创建的安全策略都未匹配，则按照缺省策略处理。

由此可见，安全策略列表的顺序是影响策略是否按预期匹配的关键，新建安全策略后往往需要手动调整顺序。

企业的一台服务器地址为10.1.1.1，允许IP网段为10.2.1.0/24的办公区访问此服务器，配置了安全策略policy1。运行一段时间后，又要求禁止两台临时办公PC（10.2.1.1、10.2.1.2）访问服务器。

此时新配置的安全区策略policy2位于policy1的下方。因为policy1的地址范围覆盖了policy2的地址范围，policy2永远无法被匹配。

序号

名称

源地址

目的地址

动作

1

policy1

10.2.1.0/24

10.1.1.1

允许

2

policy2

10.2.1.1

10.2.1.2

10.1.1.1

禁止

3

default

any

any

禁止

需要手动调整policy2到policy1的上方，调整后的安全策略如下：

序号

名称

源地址

目的地址

动作

1

policy2

10.2.1.1

10.2.1.2

10.1.1.1

禁止

2

policy1

10.2.1.0/24

10.1.1.1

允许

3

default

any

any

禁止

因此，配置安全策略时，注意先精确后宽泛。如果新增安全策略，注意和已有安全策略的顺序，如果不符合预期需要调整。

更详细的安全策略介绍与配置请参见《华为防火墙 安全策略精要》。