安全策略篇 安全策略发展历程详解

经过上期对安全策略的介绍，我想大家已经了解到安全策略是防火墙中必不可少的基本功能，本期强叔带大家详细了解安全策略的发展历程。 基于ACL的包过滤前期已经提到这种单纯的包过滤正在逐步退出历史舞台，这里只简单介绍一下。包过滤的处理过程是先获取需要转发数据包的报文头信息，然后和设定的ACL规则进行比较，根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL。因此包过滤只能基于IP地址、端口号等控制流量是否可以通过防火墙，无法准确识别应用。


基于ACL的包过滤的配置方式是先配置好包含多条数据流规则（rule）的ACL，其中每条rule包含数据流的匹配条件和permit/deny动作，然后ACL再被域间包过滤引用。一个域间只能引用一个ACL。

发展中期的UTM设备安全策略随着USG2000/5000系列UTM产品的推出，“安全策略”这个概念被提出。之所以不叫包过滤了，是因为策略中集成了UTM检测功能，配置方式也由ACL方式变为Policy方式。通过下边这个界面可以直观的看到安全策略的组成：包过滤+UTM。不启用UTM功能时就是原始的包过滤；动作为permit的安全策略可以引用IPS、AV等UTM策略，对流量进一步进行UTM检测，通过检测的流量才能真正通过防火墙。

注：华为UTM产品中已经增加“用户”这个匹配条件，后续在NGFW安全策略中再统一介绍。
另外配置方式上也变为Policy方式，即在配置安全策略时直接指定匹配数据流的多种条件以及动作，配置更简单。


此时的安全策略已经有一体化安全处理的雏形了，将防火墙包过滤功能和内容安全功能进行了融合，但是还有一定局限性。了解UTM的同学们应该知道，UTM更多的是体现功能集成，将传统防火墙、入侵防御设备、反病毒设备等集成到一个硬件。UTM设备的多个安全功能之间的紧密度不高，报文匹配安全策略的匹配条件后需要逐一进入各个UTM模块进行检测和处理，如果同时开启多个安全功能，设备性能往往大幅下降。


另外基于应用的管控需要配置额外的应用控制策略，不能直接将应用类型作为策略的匹配条件。例如需要禁止员工使用IM应用，此时要额外配置禁止IM应用的“应用控制策略”然后再在安全策略引用生效。也就是应用识别与管控需要进入另外一个模块处理。 NGFW的一体化安全策略到了NGFW阶段，对一体化、应用识别与管控、高性能等要求更高。安全策略充分体现了这些特质，通过应用、用户、内容、威胁等多个维度的识别将模糊的网络环境映射为实际的业务环境，从而实现精准的访问控制和安全检测。


闲言少叙，说点干货吧，NGFW安全策略在配置和实现上到底有哪些不同呢？1、 NGFW之前的安全策略都是应用在域间的（安全区域必配），NGFW的安全策略应用在全局，安全区域与IP地址等一样只是作为可选的匹配条件。而且安全区域支持多选。这样配置更灵活，可以不关注安全区域、域间方向，只需关注访问的源/目的。另外还可以实现跨多域的访问的一次性配置。




2、缺省包过滤也是全局只有一条，不再区分域间。3、增加应用作为匹配条件，对应用的阻断/允许直接在安全策略中配置。4、增加用户作为匹配条件，实现基于用户的管控，即使IP发生变化用户的权限也是不变的。 也就是应用和用户的识别都融入了防火墙安全策略的处理流程中，无论从配置还是设备 处理上都体现了“一体化”。5、通过高性能的一体化检测引擎实现一次扫描、实时检测，即使开启所有内容安全功能，也不会造成设备性能的大幅下降。强叔后续将开辟专门的帖子对NGFW进行具体介绍，详细的处理过程本帖不过多提及了。
展望未来安全策略在一体化、智能化、多维度管控的道路上还在继续前行，基于地理位置的控制、根据实际网络流量类型自动调整策略配置的智能策略都将陆续推出。各位网管和工程师们，期待着只需喝茶看报，防火墙自动进行安全防护的那一天吧～～
强叔提问您接触的防火墙的安全策略属于第几阶段？您最想了解什么？都可以留言哦，强叔将会一一解答。