NGFW防火墙安全策略和域间策略

1. 前言

包过滤策略（packet-filter）和对象策略（object-policy）是传统防火墙使用的域间策略，基于全局进行配置，基于安全域间实例进行应用。NGFW防火墙（Next Generation FireWall，下一代防火墙）新增安全策略（security-policy），已经脱离了域间实例的概念，根据报文的属性信息对报文进行转发控制和DPI的防控，以安全策略取代对象策略实现防火墙访问控制的功能。

2. NGFW背景

防火墙检测技术经过了三个阶段的演进：包过滤防火墙、应用代理防火墙和状态检测防火墙。

包过滤防火墙是基于路由器的第一代防火墙，利用路由器本身的分组解析，进行分组过滤。包过滤防火墙在网络层对数据包进行过滤，过滤的依据是系统设定的ACL（Access Control List, 访问控制列表）规则。包过滤防火墙根据配置好的ACL规则，允许一些数据包通过，同时阻塞其它数据包。ACL规则可以根据网络层协议（如源/目的IP）中的地址信息或者传输层（如源/目的端口等）信息设定。

图1 包过滤防火墙

基于代理技术的应用代理防火墙是第二代防火墙，代理服务作用于网络的应用层，本质是在受信网络与非受信网络之间，代替各种网络客户端执行应用层连接，即提供代理服务。非受信网络的用户通过安全策略检查后，防火墙将代表外部用户与受信网络的服务器建立连接，转发外部用户请求，并将真正服务器返回的响应回送给外部用户。与包过滤防火墙不同的是，所有这些访问都在应用层中进行控制。

图2 应用代理防火墙

继包过滤技术和应用代理技术之后，CheckPoint公司提出了状态检测（Stateful Inspection）防火墙技术，即第三代防火墙，其工作方式类似于包过滤防火墙，只是采用了更为复杂的访问控制算法。状态检测防火墙工作在传输层，使用各种状态表记录会话信息。会话成功建立连接以后，记录状态信息并实时更新，所有会话数据都要与状态表信息相匹配，否则会话将被阻断。状态检测防火墙是目前防火墙的主流技术，它的工作层次高于包过滤防火墙而低于代理防火墙。

图3 状态检测防火墙

NGFW基本为上述三种类型防火墙的综合体，既采用状态检测型包过滤技术，同时也能提供透明应用代理功能。

3. 域间策略

早期包过滤防火墙的策略配置通常都是围绕报文入接口、出接口展开的，在这种组网环境中，传统基于接口的策略配置方式需要为每一个接口配置包过滤策略。引入安全域的概念之后，安全管理员将安全需求相同的接口或IP地址进行分类（划分到不同的域），能够实现策略的分层管理，管理员只需要部署各域之间的域间策略即可。

域间策略是一种安全策略，应用于域间实例之间。域间实例用于指定安全策略所需检测报文流的源安全域和目的安全域，即首个报文要进入的安全域和要离开的安全域。在域间实例上应用域间策略可实现对报文流的检查，并根据检查结果允许或拒绝其通过。域间策略通过配置域间策略规则实现。

一个域间策略中可以包含多条用于识别报文流的规则，称为域间策略规则。这里的规则是指通过指定对象组来描述报文匹配条件的判断语句，匹配条件可以是报文的源地址、目的地址、服务类型等。设备依照这些规则识别出特定的报文，并根据设定的动作对其进行处理。

IPv4域间策略规则可以指定引用的对象，包括以下几种：

n 源IP地址对象：用于与报文的源IP地址进行匹配

n 目的IP地址对象：用于与报文的目的IP地址进行匹配

n 服务对象：用于与报文携带的服务类型进行匹配，如ICMP、TCP

n VPN实例：用于与报文的VPN实例进行匹配

当一个域间策略中包含多条规则时，报文会按照一定的顺序与这些规则进行匹配，一旦匹配上某条规则便结束匹配过程。域间策略规则的匹配顺序与规则的创建顺序有关，先创建的规则优先进行匹配。域间策略规则的显示顺序与匹配顺序一致，从上到下依次匹配。同时可以通过命令移动规则位置来调整规则的匹配顺序。

NGFW防火墙上配置域间策略有两种方式，一种是基于ACL的包过滤策略，一种是基于对象组的对象策略。两者同时配置时对象策略的优先级高于包过滤策略。

基于ACL的包过滤策略：

基于对象组的对象策略：

随着防火墙产品及安全解决方案的发展，域间策略显示出了局限性。一条域间策略仅支持一对一的安全域访问，不满足多域到多域的配置管理需求。除此之外，域间策略在海量策略下的加速，以及与软件平台的兼容性上表现不佳，都推动了NGFW防火墙策略的更新换代。

4. 安全策略

与基于域间实例的包过滤策略、对象策略相比，安全策略具有如下优势：

n 与包过滤策略相比，安全策略不仅可以通过五元组对报文进行控制，还可以有效区分协议（如HTTP协议）上承载的不同应用（如基于网页的游戏、视频和购物），使网络管理更加精细和准确。

n 与对象策略相比，安全策略可以基于用户对报文进行控制，使网络管理更加灵活和可视。

n 安全策略的加速功能可用于提高安全策略规则的匹配速度。当有大量用户同时通过设备新建连接时，如果安全策略内包含大量规则，加速功能可以提高规则的匹配速度，保证网络通畅。

n 安全策略不再局限于一对一的域间实例下的引用，可以匹配一对多、多对一以及多对多等情况下安全域之间的访问。

H3C NGFW防火墙支持安全策略，同时也仍然支持域间策略。当两种同样功能的策略同时存在时必然是有优先顺序：安全策略功能与对象策略功能在设备上不能同时使用，开启安全策略功能后，对象策略功能立即失效；当安全策略与包过滤策略同时配置时，由于安全策略对报文的处理在包过滤策略之前，报文与安全策略规则匹配成功后，不再进行包过滤处理。

5. 实例探究

某公司内的各部门之间通过NGFW防火墙实现互连，通过配置域间策略规则，允许CEO office在任意时间、Finance在工作时间访问服务器DB Server，禁止其它部门在任何时间、Finance在非工作时间通过访问该服务器，并允许Finance和Market部门的互相访问。

图5 某公司内部网络

其中域间策略的关键配置如下所示：

n 配置Finance部门在工作时间可以访问DB Server的对象策略，并在域间实例下引用。

n 配置CEO office部门在任意时间可以访问DB Server的对象策略，并在域间实例下引用。

n 配置Finance部门和Market部门的互相访问的包过滤策略，并在Any到Any的域间实例下引用。

在网管界面上显示的策略如下，其中Any到Any实例下引用的是包过滤策略，而Web网管使用的是对象策略，因此不显示包过滤策略。

图6 WEB显示域间策略

事实上，上述配置下无法实现Finance部门和Market部门的互相访问，并不是由于包过滤策略和对象策略有冲突，而是因为Finance部门和Market部门的互相访问命中Any到Any的域间实例，而Any到Any不包括同安全域之间的访问。Finance部门和Market部门均被划为DMZ域，访问不通时debugging aspf packet的显示信息如下：

“The packet was dropped by ASPF for nonexistent zone pair.”表明没有命中域间实例，如果接口没有加入安全域，ASPF也会上报这条信息。因此应配置DMZ到DMZ的明细域间策略。

此时需要升级NGFW防火墙以使用安全策略。NGFW命令支持将对象策略转换为安全策略，但不支持转换包过滤策略，因此需要先手动更改包过滤策略为对象策略。

通过security-policy switch-from object-policy将对象策略转换为安全策略，包过滤策略不做任何转换。

Any到Any的域间策略经过转换后可以实现Finance部门和Market部门的互相访问，说明安全策略的易用性更好，弥补了域间策略的架构缺陷和限制。

图7 WEB安全策略