華為防火墻的網絡安全

一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完可以不必分散在各個主機上，而集中在防火墻一身上。

華為防火墻對于數據流的處理

狀態化信息防火墻對于數據流的處理，是針對首報文在訪問發起的方向檢查安全策略，如果允許轉發。同時將生成狀態化信息-會話表，而后續的報文及返回的報文如果匹配到該會話表，將直接轉發而不經過策略的檢查，進而提高轉發效率。

防火墻通過五元組來區分一個數據流，即源IP、目標IP、協議、源端口號、目標端口。防火墻把具有相同五元組內容的數據當做一個數據流。

如果長時間沒有報文匹配，則說明雙方已經斷開鏈接，不需要該會話了。此時防火墻會在一定時間后刪除該會話。

華為防火墻安全策略

華為防火墻一條規則中，不需要配置所有的條件，可以一個或少數幾個條件。如果配置規則的條件為源區域為Trust，目標區域為Untrust，而不配置其他條件，那就意味著其他條件為any，即源區域為Trust，目標區域為Untrust，用戶任意、應用任意、服務任意、時間段任意的報文可以匹配該規則

條件中的各個元素如果在多條規則中重復調用，或者該元素本身包含多個相關內容，可以考慮配置為對象，對象可被多條規則調用。