HCIE安全LVC公开课-互动答疑 第1期 防火墙安全策略技术

华为认证

一、 根据防火墙转发流程，先进行认证策略，再进行安全策略，刚才那个访问搜狐的流程，是不是匹配到认证策略，这个时候就进行重定向而不继续进行安全策略，认证通过后，从新走一遍防火墙流程？

回答：匹配认证策略，NGFW对客户进行认证，认证成功后的流量，重走防火墙处理流程，将会匹配在认证条件包含用户或者用户组的的策略项，根据动作决定是允许还是禁止转发。

二、 用户组与安全组的区别？

回答：用户/组（部门）是“纵向”的组织结构，体现了用户的所属关系；而安全组是“横向”的组织结构，可以把不同部门的用户划分到同一个安全组，从新的管理维度来对用户进行管理。管理员基于安全组配置策略后，安全组中的所有成员用户都会继承该策略，这就使得对用户的管理更加灵活和便捷。

另外，在安全策略调用的时候，我们可以基于用户/用户组/安全组。

三、 设备替换，策略太多。有什么好的方法避免业务正常转发？

回答：yjx估计想回答的是如何避免业务不能正常转发。对于不同类型的防火墙，安全策略的转换脚本是没有现成的，主要原因是设备类型太多，命令行差异太多。在这儿我提供一个思路，就是先放一个宽泛的策略，确保业务都能正常转发，然后再根据被替换设备的策略，翻译一条，配置到新的设备上，调整策略的匹配顺序，看到新的策略有匹配报文，说明生效。当所有的策略翻译完毕后，一定记得要删除最初的宽泛的策略。

四、 应用层流量控制是怎么控制的？

回答：应用层流量控制的关键是NGFW对应用的识别能力，目前NGFW能够识别6000+种应用。通过IP包的重组、协议识别、应用层还原，能够实现对各种应用的分类。NGFW良好的实现了一体化配置，一次应用层还原，一次检测，完成AV、IPS、URL过滤等7大安全功能。

五、 需要提交？类似juniper commit?

回答：在配置UTM功能模块后，大多数功能都需要提交，并不是全部都要提交，估计大家也不会记得哪些需要提交，哪些不需要。建议都提交一下，如果不需要，NGFW也会提示没有配置需要提交。这个和其他友商的commit功能不一样，commit是做了一批配置以后，通过commit，让前面的一批配置统一生效。NGFW的提交功能主要是起编译下发的作用，关键点是编译功能。

六、 web配置能实现CLI全部功能吗

回答：web配置界面不能够实现全部的CLI功能，但是能够胜任绝大部分的CLI的功能。比如在配置DSVPN和L2TP的时候，在web界面配置后，还需要根据实际情况到CLI做一些修改。因此对于工程师来讲，两种配置方法的架构都要了解。