防火墙 安全策略

介绍安全策略的定义和特点。

设备能够识别出流量的属性，并将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配，则此流量成功匹配安全策略。流量匹配安全策略后，设备将会执行安全策略的动作。

1.如果动作为“允许”，则对流量进行内容安全检测。最终根据内容安全检测的结论来判断是否对流量进行放行。

2.如果动作为“禁止”，则禁止流量通过。

内容安全一体化检测是指使用设备的智能感知引擎对一条流量的内容只进行一次检测和处理，就能实现包括反病毒、入侵防御、URL过滤、DNS过滤、文件过滤、内容过滤、应用行为控制、邮件过滤、APT防御在内的内容安全功能，通过各种内容安全功能来保证网络安全。

传统防火墙的包过滤

   传统防火墙根据五元组（源地址、目的地址、源端口、目的端口、协议类型）来控制流量在安全区域间的转发。如图1所示，如果希望只有市场部的主机（192.168.1.0/24网段）能够浏览Internet网页，则需要在trust和untrust区域间配置源地址为192.168.1.0/24、目的地址为any、协议为HTTP（或目的端口为80）、动作为允许的包过滤规则。

下一代防火墙的安全策略

下一代防火墙的安全策略不仅可以完全替代包过滤的功能，还进一步实现了基于用户和应用的流量转发控制，而且还可以对流量的内容进行安全检测和处理。下一代防火墙的安全策略可以更好的适应新时代网络的特点，满足新时代网络的需求。

如图2所示，制定安全策略1可以阻止市场部的用户使用IM和游戏应用࿰