华为防火墙基础功能详解：构建网络安全的基石

防火墙是现代网络安全的第一道防线，也是最重要的防线之一。华为防火墙以其强大的功能和稳定的性能被广泛应用。要理解华为防火墙，核心在于掌握其三大基础概念：安全域、会话表和策略。本文将深入浅出地解析这三大功能，揭示它们如何协同工作来守护网络安全。

一、 安全域：防火墙的逻辑边界

与交换机基于物理端口工作不同，防火墙的核心思想是基于安全域进行安全控制。

1.1 什么是安全域？
安全域是一个逻辑概念，是一组网络接口的集合。这些接口所连接的网络具有相同的安全等级。防火墙的所有安全策略都是基于安全域之间流动的流量来实施的。

1.2 常见的安全域类型

• Local域：代表防火墙本身。所有目的地是防火墙接口IP（如SSH、HTTPS管理流量）或从防火墙本身发起的流量，都属于Local域。

• Trust域：通常用于连接内部可信网络，如公司内网、数据中心内部网络。

• Untrust域：通常用于连接外部不可信网络，最典型的就是互联网。

• DMZ域：用于连接对外提供服务的服务器区域，如Web服务器、邮件服务器。该区域安全等级介于Trust和Untrust之间。

1.3 核心工作模式：基于域间策略
华为防火墙的默认规则是：不同安全域之间的流量默认拒绝。这意味着，即使没有配置任何安全策略，从Trust域到Untrust域的流量也是不通的。我们必须显式地配置安全策略来允许特定的流量通过。

这种“默认拒绝，按需放行”的模式，极大地增强了网络的安全性。

二、 会话表：状态化检测的核心

现代防火墙是“状态化”的，其核心就是维护一张会话表。会话表是防火墙的大脑，记录了所有通过它的活跃连接的状态信息。

2.1 什么是会话？
一次完整的网络通信（例如，你访问一个网页）通常包含请求和响应，这构成一个双向的“会话”。

2.2 会话表的作用与条目
当第一个数据包（如TCP SYN包）到达防火墙并匹配了一条允许的安全策略时，防火墙不仅会放行它，还会在内存中创建一条会话表项。这个表项包含了该连接的关键信息：

• 源IP/目的IP

• 源端口/目的端口

• 协议（如TCP、UDP、ICMP）

• 会话状态（如TCP连接的状态）

• 剩余生存时间

2.3 状态检测的工作流程
我们以一次TCP连接为例：

1. 首包触发：内网用户（Trust域）访问外网服务器（Untrust域），发送一个TCP SYN包。

2. 策略检查：该包从Trust域流向Untrust域，防火墙检查安全策略。如果策略允许，则继续。

3. 创建会话：防火墙为此连接创建一条会话表项，并标记状态为“SYN_SENT”。

4. 后续包处理：当服务器返回SYN-ACK包时，防火墙不再去查询复杂的安全策略，而是直接检查会话表。如果发现存在匹配的会话表项，并且状态序列正确，则直接允许该包通过。

5. 连接结束：当连接完成（如交换了FIN包）或超时，防火墙会自动删除该会话表项。

会话表的优势：

• 高性能：只有连接的第一个包需要经过策略匹配和路由查找等复杂流程，后续包直接通过会话表转发，效率极高。

• 高安全性：它能够识别并阻止非法的报文序列（如没有握手过程就直接发数据），有效防御网络攻击。

• 简化策略：无需为响应的流量配置反向策略，防火墙根据会话表自动放行返回的流量。

三、 安全策略：网络流量的通行证

安全策略是防火墙管理员意志的体现，是控制流量能否通过的核心指令。它回答了“谁在什么时间、从哪里到哪里、用什么服务、是允许还是拒绝”的问题。

3.1 安全策略的关键要素
一条完整的安全策略通常包含以下部分：

• 源安全域：流量来自哪个域（如Trust）。

• 目的安全域：流量去往哪个域（如Untrust）。

• 源地址/目的地址：可以是IP、IP段或地址对象。

• 用户：基于用户或用户组进行控制（更精细）。

• 服务：流量使用的应用或协议（如HTTP、SSH、Ping）。

• 动作：

  • 允许：允许流量通过，并为其创建会话表。

  • 拒绝： silently丢弃数据包，并向源端发送拒绝信息。

  • 禁止： 丢弃数据包，并可能向源端发送错误信息。

3.2 策略匹配原则
防火墙按照策略列表自上而下的顺序进行匹配。当流量匹配了某一条策略的所有条件后，就执行该策略的动作，且不再继续匹配后续策略。如果流量不匹配任何策略，则执行默认动作：域间默认拒绝。

3.3 配置示例
假设我们需要允许内网用户访问互联网的Web服务。

# 创建地址对象，代表内网网段
security-policyrule name "Permit_Internal_to_Web"source-zone trustdestination-zone untrustsource-address 192.168.1.0 mask 255.255.255.0service http httpsaction permit

这条策略的意思是：允许从Trust域到Untrust域，源IP为192.168.1.0/24，使用HTTP和HTTPS服务的流量通过。

总结：协同工作的三部曲

安全域、会话表和安全策略共同构成了华为防火墙的防御体系，它们的工作流程可以概括为：

1. 路径确定：当一个数据包到达防火墙接口时，防火墙首先确定它的入方向安全域和出方向安全域。这是所有决策的起点。

2. 策略裁决：防火墙根据确定的源/目的安全域、IP地址、服务等信息，从上至下匹配安全策略。

   • 如果匹配到策略且动作为 “拒绝/禁止” ，则丢弃包。

   • 如果未匹配任何策略，则根据默认规则（拒绝） 丢弃包。

   • 如果匹配到策略且动作为 “允许” ，则进入下一步。

3. 会话管理：对于被“允许”的首包，防火墙创建一条会话表项。该连接的后续包和返回包，将直接通过查询会话表进行高速转发，而无需再次经过复杂的安全策略匹配。

通过这三者的精密配合，华为防火墙实现了既严格又灵活、既安全又高效的网络访问控制，成为企业网络中不可或缺的守护神。理解这一基础框架，是进一步学习NAT、AV、IPS等高级安全功能的前提。