防火墙安全策略详细解读：我们都知道，防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。而防火墙安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制。也就是说，安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。了解了什么是防火墙安全策略之后，思博继续为大家详细解读一下它。

防火墙安全策略的作用

通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等。同时也能够对设备本身的访问进行控制，例如限制哪些IP地址可以通过Telnet和Web等方式登录设备，控制网管服务器、NTP服务器等与设备的互访等。这些就是防火墙安全策略的作用。

防火墙安全策略之包过滤

我们前文说到防火墙安全策略的一定规则，而这个规则的本质其实就是包过滤。包过滤能够通过报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号、上层协议等信息组合定义网络中的数据流，其中源IP地址、目的IP地址、源端口号、目的端口号、上层协议就是在状态检测防火墙中经常所提到的五无组，统防火墙根据五元组的包过滤规则来控制流量在安全区域间的转发。

不过下一代防火墙的安全策略不一定要依赖包过滤来进行，而且它不仅可以完全替代包过滤的功能，还进一步实现了基于用户和应用的流量转发控制，而且还可以对流量的内容进行安全检测和处理，在源/目的安全区域、时间段、用户、应用等多个维度对流量进行了更细粒度的控制。

防火墙安全策略是如何工作的

首先 NGFW也就是下一代防火墙会对收到的流量进行检测，检测出流量的属性，包括：源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务（源端口、目的端口、协议类型）、应用和时间段等等。

如果所有条件都匹配，则此流量成功匹配安全策略。如果其中有一个条件不匹配，则继续匹配下一条安全策略。以此类推，如果所有安全策略都不匹配，则NGFW会执行缺省安全策略的动作。

如果流量成功匹配一条安全策略，NGFW将会执行此安全策略的动作。如果动作为禁止，则NGFW会阻断此流量。如果动作为允许，则NGFW会判断安全策略是否引用了安全配置文件。

如果安全策略的动作为“允许”且引用了安全配置文件，则NGFW会对流量进行内容安全的一体化检测；如果没有引用安全配置文件，则允许此流量通过。

相关课程内容推荐 

 

思科认证备考须知：CCNP是什么

思博全新EI课程上架：CCNP-EI 课程

思博CCNP课程安排表： CCNP-EI课表

思科认证有效期多久：CCNP 重认证

思科认证要多少钱：ccnp培训费用多少钱？