隨著國家信息安全、網絡安全的建設，防火墻成為網絡安全中高頻出現的產品，縱觀國內市場來看華為、H3C、銳捷、天融信、奇安信等等廠商已經推出了NGFW防火墻，滿足當下的網絡安全需求，滿足等保需要等。

防火墻的基礎的功能例如訪問控制、NAT，增值功能例如IPSEC VPN、SSL VPN、IPS、AV、WAF等。

訪問控制就是基于源IP、目的IP、服務進行設置的訪問控制策略，當數據包來防火墻根據安全策略進行配置，匹配到就執行對應的動作（允許、拒絕）

NAT可以分為源NAT、目的NAT、源NAT一般用于內網訪問互聯網，多個內網地址通過一個公網IP+端口號的形式實現共享上網。目的NAT在數通領域可以理解為端口映射，實現外網用戶通過訪問防火墻外網出口固定的公網IP+端口號，跳轉到內網的服務器IP+端口號。

IPSEC VPN是站點到站點通過互聯網建立一條虛擬的私有網絡，使用MD5認證算法，3DES加密算法，DH算法實現秘鑰分發的高度安全的隧道，模擬專線的效果。保障信息傳遞的機密性、完整性、不可否認性。IPSECVPN大多數廠商都是支持的，不同廠商的設備也可以對接IPSEC VPN，只要遵循IPSEC架構即可。

SSL VPN利用了SSL協議的VPN，實現異地通過互聯網連接到企業內網，訪問內網服務的VPN。SSLVPN提供身份認證，保障數據的完整性和機密性。

IPS是下一代防火墻相比較早期的防火墻的優勢之一，因為傳統的防火墻只能識別流量的網絡層和傳輸層，對于應用層是無法識別的，IPS的增加，極大加強了防火墻對于數據包處理的能力，能識別應用層的信息。大多數IPS是基于規則庫的，基于特征庫對應用層進行比對，識別出攻擊程序或惡意代碼，進行阻斷。

AV功能是防病毒功能，大多數網絡安全廠商的防病毒都是基于病毒的傳播方式來設置的，例如HTTP、SMTP、POP3等等，有的廠商是有自研殺毒引擎，但是大多數還是和國內或國外的專業殺毒廠商合作。目前來看，基于流的檢測效率基本上不會太好，檢測率往往比較低

WAF功能是WEB防護，一般防護HTTP網站或者HTTPS網站，用于應對SQL注入、網頁篡改、網頁掛馬等，WAF的功能是基于規則庫，防火墻的WAF和專業的WAF相比較還是有區別的，缺乏自學習機制。

以上就是我分享的NGFW防火墻的功能特性概述，歡迎多提寶貴意見！

背景信息

初始配置只完成了一個內網接口、一個外網接口的配置。如果規劃更多分區，例如服務器區、訪客區等，需要配置接口及安全區域。

操作步驟

1、如果需要在缺省安全區域基礎上自定義安全區域時，選擇“網絡 > 安全區域”，新建安全區域。

可以在此步驟將接口加入安全區域，也可以在接口的配置界面進行配置。

2、選擇“網絡 > 接口”，根據網絡規劃配置其他接口IP地址及安全區域。
一般連接服務區的接口加入dmz安全區域；內外接口加入trust安全區域；外網接口加入untrust安全區域；如果還自定義了安全區域，將對應接口加入安全區域。

“啟用訪問管理”用于控制訪問防火墻的協議類型，例如通過HTTPS、SSH登錄防火墻，則需要啟用HTTPS、SSH協議；例如需要Ping防火墻接口檢測連通性，則需要啟用Ping協議。

配置安全策略

背景信息

接口和安全區域配置完成后，需要配置安全策略允許流量通過防火墻。另外安全策略允許的流量不代表沒有威脅，還可以在安全策略中引用內容安全配置文件進行入侵、病毒等檢測。

這里配置的安全策略用于防火墻的上線運行，確保防火墻可以正常工作后，需要結合日志、業務情況不斷調整，使防火墻更好地保護網絡安全。

以下給出的安全策略配置僅作為舉例，請根據實際流量互訪要求配置。匹配條件越精細越好，避免防火墻放行多余流量。

操作步驟

1、選擇“策略 > 安全策略 > 安全策略”。
2、配置允許外網用戶訪問內網的Web服務器10.2.1.5，并引用缺省入侵防御配置文件對流量進行威脅檢測。

3、繼續配置其他安全策略，步驟略。

配置NAT

背景信息

初始配置中，快速向導自動生成了一條將訪問Internet流量的源IP轉換為公網接口IP的源NAT策略。可以直接使用，也可以修改配置。另外當企業有供外網用戶訪問的服務器時，還需要配置NAT Server將服務器私網IP地址映射成公網IP地址。

操作步驟

1、配置源NAT。源NAT有兩種地址轉換方式：

地址池方式：如果有多個公網地址可以使用，一般采用地址池方式。此方式需要創建NAT地址池以限定可使用的公網地址范圍。

出接口地址方式：如果只有防火墻公網接口上的公網地址可用，一般采用出接口地址方式。此方式內網PC直接借用公網接口的IP地址訪問Internet，特別適用于公網接口IP地址是動態獲取不固定的情況。

a、可選：選擇“策略 > NAT策略 > NAT策略 > 源轉換地址池”，配置公網IP地址池。

b、選擇“策略 > NAT策略 > NAT策略 > NAT策略”，配置源NAT策略。
地址池方式源NAT需要引用地址池；出接口方式源NAT無需指定地址池，直接將源地址轉換為報文出接口IP地址。

2、配置NAT Server（服務器映射）

a、選擇“策略 > NAT策略 > 服務器映射”。

b、新建服務器映射。

激活License

背景信息

防火墻部分高級業務受License控制，如需使用先激活License。

防火墻支持在線激活License和手動激活License兩種方式：

• 在線激活無需導入License文件，只需在發貨附件中找到License授權證書，獲取授權編碼（Entitlement ID），然后- 連接License中心激活。前提是確保已經建立防火墻訪問外部服務通道，防火墻才能連接License中心。手動激活需要提前獲取License文件并導入。

操作步驟

1、選擇“系統 > License管理”。
2、根據需要選擇激活方式。
在線激活

手動激活

升級特征庫

前提條件

已經建立防火墻訪問外部服務通道。

已經購買并激活特征庫升級服務License。

背景信息

升級最新的特征庫可以識別更多的應用、病毒和威脅，提高系統的安全防護能力。

有三種方式可以升級特征庫：

• 定時升級：設定設備在特定的時間自動連接安全中心進行特征庫升級。注意避開業務高峰期，以免影響業務。
• 立即升級：設備立即連接安全中心進行一次特征庫升級。
• 本地升級：從安全中心isecurity.huawei.com下載特征庫文件，手動上傳到設備升級。適用于設備不能直接連接Internet的情況。

建議在初次使用防火墻時進行一次立即升級，然后配置定時升級，使設備特征庫及時自動更新。

操作步驟

1、選擇“系統 > 升級中心”。

2、依次單擊每個特征庫對應的“立即升級”按鈕，進行一次升級。

3、立即升級完畢后，依次單擊每個特征庫對應的“定時升級時間”，配置定時升級時間。建議將時間設置為晚上業務流量較少的時候。

配置高級業務

現在防火墻已經接入網絡，并具備基本的安全功能。下一步您可以開始配置其他高級特性，以下列舉一些常用特性，具體配置請查閱產品文檔。

• 雙機熱備： 部署兩臺防火墻進行備份，實現在一臺防火墻故障時，另外一臺防火墻能夠迅速接替故障防火墻的工作，保證業務流量不中斷。
• VPN： 防火墻支持IPSec VPN、SSL VPN、L2TP、GRE等多種VPN，滿足分支互聯、移動辦公需要。
• 智能選路： 當企業通過多ISP接入Internet時，防火墻提供動態、靜態智能選路功能，按照管理員配置的選路方式調整流量分配，最大化利用鏈路資源。
• 用戶認證： 主機動態獲取IP地址、同一主機多人登錄，基于IP地址的策略控制無法針對具體的人。防火墻提供用戶認證功能，對認證通過的用戶進行權限管控。
• 內容安全： 基礎安全策略只控制是否放行流量，防火墻提供內容安全功能，針對放行的流量深度檢測應用層數據。內容安全功能包括入侵防御、反病毒、URL過濾、文件過濾、內容過濾、郵件過濾等。
• 加密流量檢測： 越來越多的應用流量采用加密傳輸，需要配置加密流量檢測功能對SSL流量進行解密再執行內容安全檢測。
• 帶寬管理： 企業購買的帶寬有限，帶寬管理功能提供帶寬限制、關鍵業務帶寬保證等功能，提高帶寬利用率。

配置日志功能持續監控流量

日志記錄對監控網絡安全性、監控業務運行狀態、監控防火墻運行狀態至關重要。管理員定期分析日志，調整防火墻配置，確保防火墻對網絡的持續保護。

防火墻支持會話日志、流量日志、策略命中日志、威脅日志、系統日志等豐富的日志類型。表1-3列舉常用日志類型，更多信息查閱產品文檔。

表1-3 常用日志類型