1.1.1 安全策略的组成

每一条安全策略都是由匹配条件和动作组成的，安全策略的组成如图1-1所示。防火墙接收到报文以后，将报文的属性与安全策略的匹配条件进行匹配。如果所有条件都匹配，则此报文成功匹配安全策略，防火墙按照该安全策略的动作处理这个报文及其后续双向流量。因此，安全策略的核心元素是匹配条件和动作。

1. 匹配条件

安全策略的匹配条件描述了流量的特征，用于筛选出符合条件的流量。安全策略的匹配条件包括以下要素。

Who：谁发出的流量，即用户。在Agile Controller单点登录场景下，还可以指定用户的接入方式、用户使用的终端设备类型。

Where：流量的来源和目的。包括源/目的安全区域、源/目的IP（Internet Protocol，互联网协议）地址、源/目的地区和VLAN（Virtual Local Area Network，虚拟专用网）。

What：访问的服务、应用或者URL（Uniform Resource Locator，统一资源定位符）分类。

When：即时间段。在安全策略中指定时间段，可以控制安全策略的生效时间，进而根据时间指定不同的动作。

以上匹配条件，在一条安全策略中都是可选配置；但是一旦配置了，就必须全部符合才认为匹配，即这些匹配条件之间是“与”的关系。一个匹配条件中如果配置了多个值，多个值之间是“或”的关系，只要流量匹配了其中任意一个值，就认为匹配了这个条件。

一条安全策略中的匹配条件越具体，其所描述的流量越精确。用户可以只使用五元组（源/目的IP地址、源/目的端口、协议）作为匹配条件，也可以利用防火墙的应用识别、用户识别能力，更精确、更方便地配置安全策略。防火墙使用“对象”来定义各种匹配条件，关于如何在安全策略中使用对象，请参考第1.3节。

2. 动作

安全策略的基本动作有两个：允许和禁止，即是否允许流量通过。

如果动作为允许，可以对符合此策略的流量执行进一步的内容安全检查。华为防火墙的内容安全检查功能包括反病毒、入侵防御、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤、APT（Advanced Persistent Threat，高级持续性威胁）防御、DNS（Domain Name Service，域名服务）过滤等。每项内容安全检查都有各自的适用场景和处理动作。防火墙如何处理流量，由所有内容安全检查的结果共同决定。

如果动作为禁止，可以选择向服务器或客户端发送反馈报文，快速结束会话，减少系统资源消耗。

用户、终端设备、时间段、源/目的IP地址、源/目的地区、服务、应用、URL分类等匹配条件，在防火墙上都以对象的形式存在。用户可以先创建对象，然后在多个安全策略中引用，具体方法请参考第1.3节。

3. 策略标识

为了便于管理，安全策略还提供了如下属性。

名称：用于唯一标识一条安全策略，不可重复。为每一条安全策略指定一个有意义的名称（如安全策略的目的），能提高维护工作效率。

描述：用于记录安全策略的其他相关信息。例如，可以在这个字段记录触发此安全策略的申请流程序号。这样，在例行审计时可以快速了解安全策略的背景，比如什么时间引入此安全策略，谁提出的申请，其有效期为多久，等等。

策略组：把相同目的的多条安全策略加入一个策略组中，从而简化管理。可以移动策略组，启用/禁用策略组等。

标签：标签是安全策略的另一种标识方式，用户可以给一条安全策略添加多个标签，通过标签可以筛选出具有相同特征的策略。例如，用户可以根据安全策略适用的应用类型，添加高风险应用、公司应用等标签。在为安全策略设置标签时，建议使用固定的前缀，如用“SP_”代表安全策略，并用颜色区分不同的动作。这会使标签更容易理解。