華為防火墻的網絡安全

一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完可以不必分散在各個主機上，而集中在防火墻一身上。

防火墻inbound和outbound不同區域之間可以設置不同的安全策略，域間的數據流分兩個方向

入方向（Inbound）：數據由低級別的安全區域向更高一層級別的安全區域傳輸的方向。

出方向（Outbound）：數據由更高一層級別的安全區域向低級別的安全區域傳輸的方向。

因為防火墻的狀態化檢測機制，所以針對數據流通常只重點處理首報文，安全策略一旦允許首報文允許通過，那么將會形成一個會話表，后續報文和返回的報文如果匹配到會話表將會直接放行，而不再查看策略，從而提升防火墻的轉發效率。如，Trust區域的客戶端訪問UNtrust區域的互聯網，只需要在Trust到UNtrust的Outbound方向應用安全策略即可，不需要做UNtrust到Trust區域的安全策略。

華為防火墻區別與傳統的安全策略，一體化策略具有以下特點

區別與傳統的安全策略，一體化策略具有以下特點：

策略配置基于全局，不再基于區域間配置，安全區域只是條件的可選配置項，也可在一條規則中配置多個源區域或目標區域。

默認情況拒絕所有區域間的流量，包括Outbound流量。必須通過策略配置放行所需流量。

安全策略中的默認動作代替了默認過濾。傳統的防火墻的過濾基于區域間的，只針對特定的區域間生效，而新一代防火墻的默認動作全局生效，且默認動作為拒絕，即拒絕一切流量，除非允許。