华为防火墙安全策略

介绍安全策略的定义和特点。

设备能够识别出流量的属性，并将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配，则此流量成功匹配安全策略。流量匹配安全策略后，设备将会执行安全策略的动作。

• 如果动作为“允许”，则对流量进行内容安全检测。最终根据内容安全检测的结论来判断是否对流量进行放行。

• 如果动作为“禁止”，则禁止流量通过。

内容安全一体化检测是指使用设备的智能感知引擎对一条流量的内容只进行一次检测和处理，就能实现包括反病毒、入侵防御、URL过滤、DNS过滤、文件过滤、内容过滤、应用行为控制、邮件过滤、APT防御在内的内容安全功能，通过各种内容安全功能来保证网络安全。

传统防火墙的包过滤

传统防火墙根据五元组（源地址、目的地址、源端口、目的端口、协议类型）来控制流量在安全区域间的转发。如图1所示，如果希望只有市场部的主机（192.168.1.0/24网段）能够浏览Internet网页，则需要在trust和untrust区域间配置源地址为192.168.1.0/24、目的地址为any、协议为HTTP（或目的端口为80）、动作为允许的包过滤规则。

下一代防火墙的安全策略

下一代防火墙的安全策略不仅可以完全替代包过滤的功能，还进一步实现了基于用户和应用的流量转发控制，而且还可以对流量的内容进行安全检测和处理。下一代防火墙的安全策略可以更好的适应新时代网络的特点，满足新时代网络的需求。

如图2所示，制定安全策略1可以阻止市场部的用户使用IM和游戏应用，制定安全策略2允许市场部的用户浏览Internet网页并且对浏览的内容进行检测，防止病毒和黑客的入侵。默认安全策略会禁止研发部员工访问Internet。

下一代防火墙的安全策略体现了以下优势：

• 能够通过“用户”来区分不同部门的员工，使网络的管理更加灵活和可视。
• 能够有效区分协议（例如HTTP）承载的不同应用（例如网页IM、网页游戏等），使网络的管理更加精细。
• 能够通过安全策略实现内容安全检测，阻断病毒、黑客等的入侵，更好的保护内部网络。

拓扑图

SW1 基本配置
[SW1]vlan 10
[SW1-vlan10]vlan 100
 
SW1]interface Vlanif 10	
[SW1-Vlanif10]ip address 192.168.10.254 24
[SW1-Vlanif10]q
 
SW1]interface Vlanif 100
[SW1-Vlanif100]ip address 10.0.1.1 24
[SW1-Vlanif100]q
 
 
[SW1]interface GigabitEthernet 0/0/1	
[SW1-GigabitEthernet0/0/1]port link-type access 
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1-GigabitEthernet0/0/1]q
 
[SW1]interface GigabitEthernet 0/0/2	
[SW1-GigabitEthernet0/0/2]port link-type access 	
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]q
 
[SW1]interface GigabitEthernet 0/0/3	
[SW1-GigabitEthernet0/0/3]port link-type access 
[SW1-GigabitEthernet0/0/3]port default vlan 100
 
[sw1]ip route-static 0.0.0.0 0.0.0.0 10.0.1.2
 
配置DHCP
[SW1]dhcp enable 
[SW1]interface Vlanif 10	
[SW1-Vlanif10]dhcp select interface 

防火墙基本配置
[USG6000V1]interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 10.0.1.2 24
[USG6000V1-GigabitEthernet1/0/0]q
 
[USG6000V1]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 172.16.1.1 24
 
 
 
[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage enable 	  //开启管理模式
[USG6000V1-GigabitEthernet0/0/0]service-manage ping permit    //允许ping 
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit     //允许所有
 
 
[USG6000V1]firewall zone trust 	      //进入 trust 区域
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0      //把1/0/0 放到 trust区域
 
 
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/2
 
 
[USG6000V1]ip route-static 192.168.10.0 255.255.255.0 10.0.1.1
[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 172.16.1.2
 
 
[USG6000V1]security-policypo	
[USG6000V1-policy-security]rule name t-2-u	
[USG6000V1-policy-security-rule-t-2-u]source-zone trust 
[USG6000V1-policy-security-rule-t-2-u]destination-zone untrust 
[USG6000V1-policy-security-rule-t-2-u]source-address 192.168.10.0 mask 255.255.2
[USG6000V1-policy-security-rule-t_2_u]action permit   //动作

R1基本配置
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 172.16.1.2 24
 
[R1-GigabitEthernet0/0/0]q
[R1-LoopBack0]ip address 1.1.1.1 32
[R1-LoopBack0]q
 
 
[R1]ip route-static 192.168.10.0 24 172.16.1.1    

R1路由器路由表

交换机 telnet 路由器R1 成功