安全运维之华为防火墙策略配置

上文说过，防火墙有默认的四个安全域：Trust、Untrust、Local和DMZ，当然也可以自定义安全域。每个安全域有不同的优先级，防火墙定义了不同安全域之间的数据流向，高优先级流向低优先级称为outbound，反之称之为inbound。再次基础上，存在域间的概念，即不同安全域的控制边界，而防火墙的策略也是作用在域见，以对流量进行控制。

1、默认域间策略

如果没有显式地配置域间策略，那么相关域间的数据流量就按照默认域间策略进行流转，Local域到Trust域inbound方向的默认域间策略配置方式如下，可以参照配置其他域间的默认策略。

firewall packet-filter default permit|deny interzone local trust direction inbound

2、域间策略配置

域间策略的配置有几个关键概念，第一是策略启用时间，第二是策略的源地址（集），第三是策略的目的地址（集），第四是策略管理的端口（服务信息）。在进行策略配置之前，需要先行配置上述几个关键元素。

2.1 时间区间的配置

如下命令配置了一个自2017年3月27日00:00到2017年4月1日00:00的时间区间，时间格式是“小时:分钟 年/月/日”。

time-range march from 00:00 2017/03/27 to 00:00 2017/04/01

2.2 地址（集）的配置

如下命令以不同的方式配置了一组地址（集），包括指定掩码长度配置特定IP、配置地址区间、反向掩码配置地址（集）。显然，每个地址集中可以包括多个地址或地址集，每一个地址或地址集以不同的编号存在。

ip address-set setname type object

description source address set

address 0 XX.XX.XX.XX mask 32

address 1 range XX.XX.XX.XX YY.YY.YY.YY

address 2 XX.XX.XX.0 mask 24

address 3 XX.XX.XX.XX 0 description 32位反向掩码

address 4 XX.XX.XX.0 0.0.0.255 description 24位反向掩码

2.3 服务（集）的配置

如下命令配置了一组服务（集），既可以定义单个端口，也可以定义端口范围。另外，防火墙预置了一部分端口，如ssh、telnet、tcp、ftp等，可以直接使用。

ip service-set servicename type object

service 0 protocol tcp destination-port 16000

service 1 protocol tcp destination-port 7777

service 2 protocol tcp destination-port 8801 to 8808

2.4 域间策略配置

如下命令在Untrust到Trust的outbound方向域间配置了一个编号为0的策略，其控制方式为允许数据包通过，并指定了源地址、目的地址、服务、生效时间等要素。当然，也可以指设定上述要素的某几项。

policy interzone trust untrust outbound

policy 0

action permit|deny

policy source address-set setname

policy destination address-set setname

policy service service-set servicename

policy time-range march

3、 策略查询及更新

策略配置完成后，有时需要对配置情况进行查询，或者进行更新，可以参照如下命令进行。

policy interzone trust untrust outbound

policy 0

display this

policy source address-set newsource

4、查询策略命中数

查询域间的所有命中数

display policy interzone trust untrust outbound

查询指定policy的命中数

display policy interzone trust untrust outbound policy 0

查询指定ACL的命中数

display acl 3100

5、总结

总得来看，策略的配置主要就是源地址、目的地址、生效时间、服务集按照一定格式组成的一个组合，每一条策略在一个指定的域间生效并为之分配一个编号，不同域间的策略编号可以相同。有一点需要强调的是，策略及相关地址、时间、服务的配置要在系统模式下进行，即先执行system-view。

感谢您花费时间阅读此文，水平有限，但请见谅，欢迎关注评论“无逻辑先生”，期待与您一起学习、成长。有兴趣深入了解的同仁可以参见《强叔侃墙》，绝对物超所值，下文将介绍华为防火墙的主备切换方法。