1.1.4 匹配規(guī)則與默認策略

通常，防火墻上會配置大量的安全策略。那么，防火墻收到報文時是如何匹配的呢？防火墻接收到業(yè)務發(fā)起方的第一個報文后，按照安全策略列表的順序，從上向下依次匹配。一旦某一條安全策略匹配成功，則停止匹配。防火墻按照該安全策略指定的動作處理流量，并使用會話表記錄該條流量的連接狀態(tài)。該流量的后續(xù)報文直接根據(jù)會話表來處理。

假設客戶端訪問服務器的首包到達防火墻時，按照安全策略列表順序匹配，命中ID為3的安全策略，如圖1-5所示。防火墻停止策略匹配流程，根據(jù)該安全策略指定的動作，放行首包，同時建立會話表，記錄會話狀態(tài)。服務器收到首包以后，返回給客戶端的響應報文到達防火墻，首先查找和匹配會話表，根據(jù)會話表轉發(fā)。

圖1-5　安全策略的匹配規(guī)則

防火墻出廠時就存在一條顯式的默認策略“default”，默認禁止所有的域間流量。默認策略永遠位于策略列表的最底端，且不可刪除。用戶創(chuàng)建的安全策略，按照創(chuàng)建順序從上往下排列，新創(chuàng)建的安全策略默認位于策略列表底部，默認策略之前。如果流量跟所有手工創(chuàng)建的安全策略都不匹配，必將命中默認策略，防火墻根據(jù)默認策略阻斷流量。

基于防火墻的安全策略匹配規(guī)則以及默認策略的設計，我們知道：安全策略的順序至關重要，在創(chuàng)建安全策略之后，還要根據(jù)業(yè)務需要手動調(diào)整安全策略的順序，以保證策略匹配結果符合預期；建議保持默認策略的動作為禁止，不要修改，默認策略的目的是保證所有未明確允許的流量都被禁止，這是防火墻作為一個安全產(chǎn)品所遵循的基本設計理念。

例如，安全策略列表中已經(jīng)有一條名為“Block high-risk ports”的101號安全策略，阻斷了所有高風險服務。現(xiàn)在，用戶要為來自trust區(qū)域的管理終端訪問位于DMZ（Demilitarized Zone，非軍事區(qū)）的服務器開放RDP（Remote Desktop Protocol，遠程桌面協(xié)議）的遠程桌面服務，新增了一條名為“Allow RDP for admin”的201號安全策略，如表1-3所示。

表1-3　安全策略的順序——新增配置后

因為101號安全策略完全包含了201號安全策略的匹配條件，按照安全策略的匹配規(guī)則，201號安全策略永遠也不會被命中。來自trust區(qū)域的遠程桌面訪問命中101號安全策略，就按照其動作被阻斷了。因此，新增201號安全策略之后，用戶需要手動調(diào)整其順序，把它放到101號安全策略前面，如表1-4所示。調(diào)整后安全策略的序號自動變化。

表1-4　安全策略的順序——調(diào)整順序后