华为防火墙的策略及管理方式

华为防火墙的策略有以下四点：

1.任何两个安全区域的优先级不能相同。

2.本域内不同接口的报文不过滤直接转发

3.接口没有加入域之前不能做转发

4.在USG6000系列的防火墙默认是没有安全策略的，也就是说，不管哪个区域都可以互相访问

华为防火墙常见的管理方式有：

通过控制台方式管理，属于带外管理，不占用用户带宽，适用于新设备。

通过Telnet方式管理，属于带内管理，配置简单，安全性低。

通过Web方式管理，属于带内管理，可以基于图形化管理，更适用于新手配置设备

通过SSH方式管理，属于带内管理，配置复杂，安全性高，资源占用少。

华为防火墙的策略特点

2.本域内不同接口间的报文不过滤直接转发。

3.接口没有加入域之前不能转发报文。

4.在USG系列的防火墙上默认是没有安全策略的，也就是说，不管是什么区域之间相互访问，都必须要配置安全策略，除非是同一区域报文传递。

区别于传统的安全策略，一体化的安全策略具有如下特点:

1.策略配置基于全局，不再基于区域间配置，安全区域只是条件的可选配置项，也可在一条规则中配置多个源区域或目标区域。

2.默认情况拒绝所有区域间的流量，必须通过策略配置放行所需流量。

3.安全策略中的默认动作代替了默认bao过滤。传统的防火墙的bao过滤基于区域间的，只针对zhi定的区域间生效，而新一代防火墙的默认动作全局生效，目默认动作为拒绝，即拒绝一切流量，除非允许。

华为防火墙的四个区域

1、域基本分为：非受信区（Untrust）、本地区域（Local）、非jun事化区(DMZ)、受信区(Trust)，这四个是系统自带不能删除，除了这四个域之外，还可以自定义域；

2、这四个区域的等级为：local>trust>dmz>untrust，自定义的域的优先级是可以自己调节的；

3、域与域之间如果不做策略默认是deny的，即任何数据如果不做策略是通不过的，如果是在同一区域的就相当于二层交换机一样直接转发；

4、当域与域之间有inbound和outbound区分，华为定义了优先级地的域向优先级高的域方向就是inbound，反之就是outbound。

华为防火墙对于数据流的处理

状态化信息防火墙对于数据流的处理，是针对首报文在访问发起的方向检查安全策略，如果允许转发。同时将生成状态化信息-会话表，而后续的报文及返回的报文如果匹配到该会话表，将直接转发而不经过策略的检查，进而提高转发效率。

防火墙通过五元组来区分一个数据流，即源IP、目标IP、协议、源端口号、目标端口。防火墙把具有相同五元组内容的数据当做一个数据流。

如果长时间没有报文匹配，则说明双方已经断开链接，不需要该会话了。此时防火墙会在一定时间后删除该会话。