一、安全策略1.1 工作原理每个规则 匹配条件 动作华为防火墙安全策略处理流程一、总体原则状态化检测Stateful Inspection防火墙不是对每个数据包都查安全策略而是第一个包首包查安全策略决定允许/拒绝。如果允许则创建会话表项。后续包同一条流直接匹配会话表不再查安全策略快速转发。这极大提升了性能也解决了“回程流量放行”的问题因为会话表是双向的。二、详细处理流程逻辑步骤当一个数据包到达防火墙接口时按以下顺序处理数据包进入接口 ↓ 1. 确定安全区域源区域 入接口所属区域目的区域 路由出接口所属区域 ↓ 2. 查找现有会话表 ↓ ┌────────────────────┐ │ 是否匹配已有会话 │ └────────────────────┘ ↓ 是 ↓ 否 直接使用会话表转发 首包进入安全策略检查 不查策略 ↓ ↓ ┌─────────────┐ ↓ │ 逐条匹配规则 │ ↓ │ (按编号顺序) │ ↓ └─────────────┘ ↓ ↓ ↓ 匹配到规则 ↓ ↓ 是 ↓ 否 ↓ 动作permit 动作deny 或 无匹配 ↓ ↓ ↓ ↓ 创建会话表 丢弃数据包 ↓ 双向表项 并记录日志 ↓ ↓ ↓ 转发数据包 ↓ ↓ └──────────────┘三、关键概念详解1. 什么是「首包」流程判断的核心依据首包 某个网络会话的第一个数据包也是防火墙本地会话表中没有对应表项的数据包。不同协议的首包华为防火墙有严格的官方判定标准协议类型官方认定的首包非首包后续包TCP 协议仅SYN 报文三次握手的第一个包SYNACK、ACK、数据报文、FIN 报文等所有其他 TCP 报文UDP 协议该 UDP 会话的第一个报文UDP 无连接无握手首个包即认定为首包同 UDP 五元组的所有后续报文ICMP 协议仅Echo Request 报文Ping 请求包Echo Reply 应答包、超时包等所有其他 ICMP 报文考点坑点TCP 的 SYNACK、ACK 报文哪怕是会话里第一个到达防火墙的包也不认定为首包默认直接丢弃这个是判断题高频坑。2. 什么是「状态化会话表项」会话表项是防火墙给首包安全策略检查通过、被允许放行的流量生成的一张 “通行凭证”核心记录了该会话的五元组源 IP、目的 IP、源端口、目的端口、协议号、安全区域、会话超时时间、报文统计等关键信息。核心作用后续同会话的数据包只要匹配这张表就相当于有了 “免检通行证”无需再重复走安全策略检查直接转发。必考规则只有首包安全策略检查通过、动作是「允许」才会生成会话表项动作是「禁止」的流量永远不会生成会话表项。不同类型协议首包的区分华为防火墙安全策略的例外情况课件中看到的“例外情况”本质上是华为防火墙为了兼顾安全性和网络连通性对特定类型流量做了差异化处理。一、总原则最基础缺省情况下安全策略仅对单播报文进行控制广播和组播报文直接转发不经过安全策略检查。原因广播如ARP、DHCP发现和组播如OSPF Hello、IGMP是网络正常运行的基础。如果每一条广播/组播都要配置安全策略网络将无法自动建立邻居或获取地址。因此华为防火墙默认放行它们减轻管理负担。例外如果你有特殊安全需求例如严格隔离二层组播可以通过命令开启控制。二、控制二层组播的命令firewall l2-multicast packet-filter enable作用使安全策略能够过滤二层组播报文目的MAC为组播地址如01:00:5e:xx:xx:xx。默认未开启即二层组播不查安全策略。注意该命令不影响IP组播如OSPF的224.0.0.5实际上IP组播属于三层默认也不受安全策略控制见总原则。但二层组播通常用于一些特殊协议如IS-IS over Ethernet。开启后需谨慎可能阻断邻居建立。一句话除非你明确知道需要过滤二层组播否则保持默认关闭。三、基础协议路由、BFD、DHCP等的特殊处理课件表格中列出了BFD、BGP、DHCPv4/v6、OSPF。这些协议是网络互联互通的关键。华为防火墙对它们的处理规则如下报文类型穿越防火墙的报文中间设备抵达防火墙/防火墙自身发出的报文单播受安全策略控制受安全策略控制组播不受安全策略控制不受安全策略控制为什么这样设计组播不受控因为这些协议在建立邻居或发现服务时经常使用组播如OSPF Hello 224.0.0.5DHCP客户端广播/组播。如果安全策略拦截组播邻居关系无法建立设备无法获取IP地址网络将瘫痪。所以默认放行。单播受控这些协议的单播报文如OSPF DD、BGP TCP连接、DHCP单播续租属于控制层面信息。为了防止恶意设备通过单播攻击路由协议防火墙默认要求管理员明确放行。四、核心命令undo firewall packet-filter basic-protocol enable这是课件中的重点。该命令全局生效影响上述基础协议以及RIP、IS-IS等的单播报文。命令状态效果默认未配置或配置firewall packet-filter basic-protocol enable基础协议的单播报文受安全策略控制需要配置策略才能通信。undo firewall packet-filter basic-protocol enable基础协议的单播报文不受安全策略控制直接放行但仍受路由、接口状态等影响。为什么需要这条命令快速接入网络当防火墙首次部署或与邻居设备建立路由协议时如果来不及写详细的安全策略可以临时关闭基础协议过滤让路由协议先通起来。降低安全性关闭后任何单播的OSPF、BGP等报文都可以绕过安全策略存在风险。生产环境不建议长期使用而是应该配置精确的安全策略放行。注意该命令不影响组播组播始终不受控除非单独开启二层组播过滤。重难点总结安全策略默认只控制单播广播/组播直接放行。基础协议BFD/BGP/DHCP/OSPF等的单播受控组播不受控。undo firewall packet-filter basic-protocol enable用来放行所有基础协议的单播快速接入网络有风险。firewall l2-multicast packet-filter enable用来控制二层组播极少使用。记住OSPF例子Hello组播通DD单播卡 → 调策略或undo命令。命令控制对象默认状态开启后的效果典型使用频率firewall l2-multicast packet-filter enable二层组播报文目的MAC为组播地址如01:00:5e:xx:xx:xx关闭安全策略开始检查二层组播不再默认放行极少使用绝大多数网络不需要控制二层组播undo firewall packet-filter basic-protocol enable基础协议的单播报文OSPF、BGP、RIP、DHCP等默认开启即基础协议单播受控让这些基础协议的单播绕过安全策略直接放行仅实验室或临时测试生产环境不建议undo firewall packet-filter basic-protocol enable仅实验室或临时测试使用默认情况下基础协议OSPF、BGP等的单播报文受安全策略控制这是安全基线。管理员必须显式放行防止未授权的路由协议交互。但在实验室搭建环境或临时排错时为了方便快速建立邻居可以临时用undo命令关闭检查让协议通起来。生产环境如果关闭任何设备都可以与防火墙建立OSPF邻居存在巨大安全风险。所以强烈不建议长期开启仅限临时测试。二、Smart Policy