1.1.6 安全策略的配置原则

在华为防火墙的实现中，并不是所有业务都需要开放安全策略。了解这些配置原则，有助于规避可能的问题。

安全策略仅控制单播报文，用户需要为所有合法的单播报文开放安全策略。默认情况下，组播报文和广播报文不受防火墙的安全策略控制。防火墙直接转发组播报文和广播报文，不需要开放安全策略。

特别值得提醒的是，这个规则同样适用于常见的网络互连互通协议，包括BGP（Border Gateway Protocol，边界网关协议）、BFD（Bidirectional Forwarding Detection，双向转发检测）、DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）、DHCPv6、LDP（Label Distribution Protocol，标签分发协议）、OSPF（Open Shortest Path First，开放最短路径优先）。用户需要为它们的单播报文配置安全策略。这是防火墙与路由器和交换机最大的不同。如果想要快速接入网络，用户也可以使用undo firewall packet-filter basic-protocol enable命令取消这个策略。取消以后，上述协议的单播报文不受安全策略控制。

对于二层组播报文，用户也可以启用安全策略控制功能。使用firewall l2_multicast packet-filter enable命令启用此功能以后，用户需要为二层组播报文（二层邻居发现组播报文除外）配置安全策略。

对于访问防火墙的管理协议，如果启用了接口访问控制，不需要配置安全策略。接口访问控制适用于常见的管理协议，优先级高于安全策略，具体请参阅第1.1.5节。

对于多通道协议，比如FTP（File Transfer Protocol，文件传送协议），只需要为控制通道配置安全策略。众所周知，多通道协议需要在控制通道中动态协商出数据通道的地址和端口，然后根据协商结果建立数据通道连接。用户需要为多通道协议启用ASPF（Application Specific Packet Filter，应用层包过滤）功能，防火墙从协商报文中记录地址和端口信息，生成Server-map表，并根据Server-map表转发报文。Server-map表相当于一个动态创建的安全策略。

华为防火墙是状态检测防火墙，用户只需要为报文发起方配置安全策略。防火墙收到发起方的首包报文以后，执行安全策略检查，记录会话表。后续报文和回程报文只需要命中会话表即可通过，不再检查安全策略。如果通信双方都可能发起连接，用户需要为双向报文分别配置安全策略。

源地址和目的地址在同一个安全区域内的域内流量，默认不需要配置安全策略。按照安全区域的设计理念，域内的设备具有相同的安全等级，域内流量默认直接转发，不需要安全检查。用户可以为某些域内（源/目的安全区域为同一个）流量配置安全策略，阻断特定的流量，或者为某些放行的流量添加内容安全检查。如果用户有更高的安全需求，也可以使用default packet-filter intrazone enable命令，让域内流量受默认安全策略控制。在这种情况下，需要为所有域内流量配置安全策略。

防火墙转发流程中跳过安全策略检查的业务，不需要配置安全策略。例如，当防火墙配置了认证策略，且用户访问请求触发Portal认证时，不需要为Portal认证开放安全策略。再如，防火墙双机热备组网中，不用为两台防火墙之间的HRP（Huawei Redundancy Protocol，华为冗余协议）报文配置安全策略。

毋庸置疑的是，防火墙的安全性带来了一定的复杂性，而配置和管理的复杂性也会破坏安全性。用户需要熟悉并理解这些规则和配置开关，并根据自己的业务需求和安全需求，找到中间的平衡点。