華為防火墻應用層過濾技術

1.文件類型過濾：主要針對不同類型（擴展名不同）的文件過濾，USG防火墻可以識別數據包攜帶的應用層文件類型。其檢查過程并非只查詢文件的擴展名，而是基于文件內容進行識別，如果發送方將a.exe文件改為a.docx，防火墻根據內容將識別為EXE文件。

2.內容過濾：基于HTTP中發送博客內容、論壇發送帖子內容、SMTP中的發送郵件主題及正文內容、FTP中上傳和xia載文件的名稱，文件共享服務中的文件名稱等過濾，可以基于特定的文本過濾，也可以通過正則表達式過濾。

3.URL過濾：主要針對用戶訪問的互聯網頁面URL進行過濾，允許或拒絕用戶訪問某些類型的URL網站資源，以控制用戶對互聯網資源的使用。

華為防火墻默認有4個區域，分別是local，trust、untrust、dmz。

華為防火墻默認有4個區域，分別是local，trust、untrust、dmz。不同的區域擁有不同的受信優先級。防火墻根據這些區域的受信優先級來區分區域的保護級別。安全級別由1~100的阿拉伯數字來表示，數字越大，則代表該區域內的網絡越可信。

trust區域：主要用于連接公司的內部網絡 默認安全級別為 85。

untrust區域：定義為外部網絡，安全級別為5，安全級別很低。untrust區域表示不受信任的區域，互連網上威脅較多，所以把internet等不安全網絡劃入該區域。

Dmz區域：非軍人化區域， 在防火墻中通常定義為需要對外提供服務的網絡，其安全性介于trust區域和untrust區域之間，安全級別為50

local區域：通常定義防火墻本身安全級別為100

華為防火墻對于數據流的處理

狀態化信息防火墻對于數據流的處理，是針對首報文在訪問發起的方向檢查安全策略，如果允許轉發。同時將生成狀態化信息-會話表，而后續的報文及返回的報文如果匹配到該會話表，將直接轉發而不經過策略的檢查，進而提高轉發效率。

防火墻通過五元組來區分一個數據流，即源IP、目標IP、協議、源端口號、目標端口。防火墻把具有相同五元組內容的數據當做一個數據流。

如果長時間沒有報文匹配，則說明雙方已經斷開鏈接，不需要該會話了。此時防火墻會在一定時間后刪除該會話。