華為防火墻的默認策略組合及方向

防火墻的默認策略組合

1.默認防火墻和內網區域允許進和出，即相互通信;

2.防火墻和外網區域之間，只能出，不能進。即防火墻可以ping通外網，外網無法ping通防火墻；

3.同樣防火墻訪問DMZ也是只能出，不能進。即防火墻可以ping通DMZ的server，但server無法ping通防火墻。

防火墻策略的方向

1.outbound：高優先級訪問低優先級

2.inbound：低優先級訪問高優先級

注意：“訪問”僅指的是出包即主動發起的di一個報文，即建立會話（session）的過程。

默認高優先級可以訪問低優先級，但是低優先級無法回包，相當于回執路由回不來。所以無法ping通。但是我的確是訪問了，防火墻就會記錄這一條信息。

華為防火墻應用層過濾技術

1.文件類型過濾：主要針對不同類型（擴展名不同）的文件過濾，USG防火墻可以識別數據包攜帶的應用層文件類型。其檢查過程并非只查詢文件的擴展名，而是基于文件內容進行識別，如果發送方將a.exe文件改為a.docx，防火墻根據內容將識別為EXE文件。

2.內容過濾：基于HTTP中發送博客內容、論壇發送帖子內容、SMTP中的發送郵件主題及正文內容、FTP中上傳和xia載文件的名稱，文件共享服務中的文件名稱等過濾，可以基于特定的文本過濾，也可以通過正則表達式過濾。

3.URL過濾：主要針對用戶訪問的互聯網頁面URL進行過濾，允許或拒絕用戶訪問某些類型的URL網站資源，以控制用戶對互聯網資源的使用。

華為防火墻的網絡層防火墻

網絡層防火墻可視為一種 IP 封包的過濾器（允許或拒絕封包資料通過的軟硬結合裝置），運作在底層的 TCP/IP 協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規則通常可以經由管理員定義或修改，不過某些防火墻設備可能只能套用內置的規則。

我們也能以另一種較寬松的角度來制定防火墻規則，只要封包不符合任何一項“否定規則”就予以放行。現在的操作系統及網絡設備大多已內置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是 FTP)。也能經由通信協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。