防火墙的防火防火基本作用是保护特定网络免受“不信任”的网络的攻击，但是墙安全策墙配其作同时还必需允许两个网络之间可以进行合法的通信。安全策略的置及作用就是对通过防火墙的数据进行检验，符合安全策略的用介合法数据流才能通过防火墙。

　　可以在不同的域间方向应用不同的安全策略进行不同的控制。

　　安全策略是墙安全策墙配其作由匹配条件和动作（允许/拒绝）组成的控制规则，可以基于IP、置及端口、用介协议等属性进行细化的防火防火控制。

　　缺省情况下，墙安全策墙配其作所有域间的置及所有方向都禁止报文通过，可以根据需求配置允许允许那些数据通过防火墙的用介安全策略。

　　注：对于路由、防火防火ARP等底层协议一般是墙安全策墙配其作不受安全策略控制的，直接允许通过。置及当然这和具体产品实现有关，产品间可能有差异。

　　在一个域间有Inbound方向和Outbound方向，但对于同一条数据流，在访问发起的方向上应用安全策略即可，反向报文 不需要额外的策略。这是因为防火墙是状态检测设备，对于同一条数据流只有首包匹配安全策略并建立会话，后续包都匹配会话转发。

　　防火墙将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配，则此流量成功匹配安全策略。如果其中有一个条件不匹配，则未匹配安全策略。

　　同一域间或域内应用多条安全策略，策略的优先级按照顺序进行排序，越先配置的策略优先级越高，越先匹配报文。如果报文匹配到一条策略就不再继续匹配剩下的策略，如果没有匹配到任何策略就按缺省包过滤处理。所以配置策略要先粗后细。

　　1.传统防火墙

　　基于ACL的包过滤。

　　通过在域间引用ACL实现包过滤匹配条件：报文头的五元组（源/目的地址、源/目的端口号、协议号）和时间段动作包括拒绝和允许报文通过

　　2.UTM

　　融合UTM的安全策略（包过滤+UTM）

　　在包过滤基础上增加UTM处理，包括IPS/AV/URL过滤等动作为permit的报文继续进行UTM处理，通过UTM检测才真正允许通过功能叠加，应用未作为统一的匹配条件，而是存在独立的应用控制策略，对用户体验和处理性能都有一定影响

　　3.NGFW

　　一体化安全策略（五元组+应用+用户+内用安全）真正的一体化策略，可一次识别流量的应用类型、携带的内容等数据，供内容安全功能使用增加应用、用户两个匹配条件，解决了基于端口、IP识别流量不准确的问题应用、内容、威胁感知能力增强