哪些业务需要开放安全策略

你必须知道，在华为防火墙的实现中，并不是所有业务都需要开放安全策略。了解这些基本规则，有助于规避可能的问题。

• 安全策略仅控制单播报文，你需要为所有合法的单播报文开放安全策略。缺省情况下，组播报文和广播报文不受防火墙的安全策略控制。防火墙直接转发组播报文和广播报文，不需要开放安全策略。

  特别值得提醒的是：以上规则同样适用于网络互连互通的基础协议（包括BGP、BFD、DHCP、DHCPv6、LDP、OSPF），你需要为它们的单播报文配置安全策略。这是防火墙与路由器和交换机最大的不同。如果想要快速接入网络，你也可以使用命令undo firewall packet-filter basic-protocol enable取消这个控制。取消以后，上述协议的单播报文不受安全策略控制。

• 对于二层组播报文，你也可以启用安全策略控制功能。USG6000/USG6000E产品，使用命令firewall l2-multicast packet-filter enable启用此功能以后，你需要为二层组播报文（二层ND组播报文除外）配置安全策略。
• 对于访问防火墙的管理协议，如果启用了接口访问控制，不需要配置安全策略。接口访问控制适用于常见的管理协议，优先级高于安全策略，具体请参考本地安全策略和接口访问控制。
• 对于多通道协议（比如FTP），只需要为控制通道配置安全策略。众所周知，多通道协议需要在控制通道中动态协商出数据通道的地址和端口，然后根据协商结果建立数据通道连接。你需要为多通道协议启用ASPF功能，防火墙从协商报文中记录地址和端口信息，生成Server-map表项，并根据Server-map表转发报文。Server-map表相当于是一个动态创建的安全策略。
• 华为防火墙是状态检测防火墙，你只需要为报文发起方配置安全策略。防火墙收到发起方的首包报文以后，执行安全策略检查，记录会话表。后续报文和回程报文只需要命中会话表即可通过，不再检查安全策略。如果通信双方都可能发起连接，你需要为双向报文分别配置安全策略。
• 源和目的在同一个安全区域内的域内流量，默认不需要配置安全策略。按照安全区域的设计理念，域内的设备具有相同的安全等级，域内流量缺省转发，不需要安全检查。你可以为某些域内流量配置安全策略（源/目的安全区域为同一个），阻断特定的流量，或者为某些放行的流量添加内容安全检查。如果你有更高的安全需求，也可以使用default packet-filter intrazone enable命令，让域内流量受缺省安全策略控制。在这种情况下，你需要为所有域内流量配置安全策略。
• 防火墙转发流程中跳过安全策略检查的业务，不需要配置安全策略。例如，当防火墙配置了认证策略，且用户访问请求触发Portal认证时，不需要为Portal认证开放安全策略。再如，防火墙双机热备组网中，两台防火墙之间的HRP报文不需要配置安全策略。

毋庸置疑的是，防火墙的安全性带来了一定的复杂度，而配置和管理的复杂性也会破坏安全性。你需要熟悉并理解这些规则和配置开关，并根据自己的业务需求和安全需求，找到中间的平衡点。