在万物互联的当今，勒索软件、僵尸网络、蠕虫病毒以及其它应用攻击不断产生。传统的防火墙主要基于端口和协议来识别应用，已无法满足当今互联网安全需求。华为下一代防火墙也与时俱进，安全策略也发展到“一体化”架构。
　　
　　华为防火墙所谓的一体化，主要包含两个方面的内容：一是配置上的一体化，内容安全（反病毒、邮件过滤、入侵检测、URL过滤等）特性通过配置文件调用到安全策略来实现，实现了配置的简易度;二是业务处理上的一体化，安全策略对报文进行一次检测，如果其中一个安全配置文件阻断此流量，则防火墙阻断此流量。如果所有的安全配置文件都允许此流量转发，则防火墙允许此流量转发，大幅度提升设备性能
　　
　　如图一所示，一体化的安全策略除了可以基于五元组信息之外，还可以基于Time(时间)、Location（位置）、Content(内容)、Attack（威胁）、Application(应用)6个维度对网络环境进行识别，从而可以实现更精准的访问控制和安全检测。
　　一体化的安全策略由条件、动作和配置文件组成，如下图二所示，其中配置文件的作用就是对报文进行内容安全检测，只有允许的动作才能引用配置文件。
　　流量通过FW时，安全策略的处理流程如下：
　　
　　1、会对收到的流量进行检测，检测出流量的属性，包括：源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务（源端口、目的端口、协议类型）、应用和时间段。
　　
　　2、将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配，则此流量成功匹配安全策略。如果其中有一个条件不匹配，则继续匹配下一条安全策略。以此类推，如果所有安全策略都不匹配，则FW会执行缺省安全策略的动作（默认为“禁止”）。
　　
　　3、如果流量成功匹配一条安全策略，FW将会执行此安全策略的动作。如果动作为“禁止”，则FW会阻断此流量。如果动作为“允许”，则FW会判断安全策略是否引用了安全配置文件。如果引用了安全配置文件，则继续进行步骤4的处理；如果没有引用安全配置文件，则允许此流量通过。
　　
　　4、如果安全策略的动作为“允许”且引用了安全配置文件，则FW会对流量进行内容安全的一体化检测。
　　
　　华为下一代防火墙安全策略配置案例
　　
　　实验拓扑
　　组网需求    
　　
　　企业根据员工级别和职能不同划分了三种用户：高层管理者、市场员工、研发员工，他们能够访问Internet的权限不同。具体组网需求如下：
　　
　　a.高层管理者可以自由访问Internet。
　　
　　b.市场员工能够访问Internet，但不能玩游戏，观看网络视频。
　　
　　c.研发员工只能使用TortoiseSVN应用，不允许访问其他Internet应用。
　　
　　实验配置
　　
　　#配置高层管理者的安全策略
　　
　　[FW]security-policy
　　
　　[FW-policy-security]rule name policy_management
　　
　　[FW-policy-security-rule-policy_sec_management]source-zone trust
　　
　　[FW-policy-security-rule-policy_sec_management]destination-zone untrust
　　
　　[FW-policy-security-rule-policy_sec_management]user user-group /default/management
　　
　　[FW-policy-security-rule-policy_sec_management]action permit
　　
　　[FW-policy-security-rule-policy_sec_management]quit
　　
　　#配置市场员工的安全策略
　　
　　[FW-policy-security]rule name policy_marketing1
　　
　　[FW-policy-security-rule-policy_sec_marketing_1]source-zone trust
　　
　　[FW-policy-security-rule-policy_sec_marketing_1]destination-zone untrust
　　
　　[FW-policy-security-rule-policy_sec_marketing_1]application category Entertainment sub-category Media_Sharing
　　
　　[FW-policy-security-rule-policy_sec_marketing_1]application category Entertainment sub-category Game
　　
　　[FW-policy-security-rule-policy_sec_marketing_1]user user-group /default/marketing
　　
　　[FW-policy-security-rule-policy_sec_marketing_1]action deny
　　
　　[FW-policy-security-rule-policy_sec_marketing_1]quit
　　
　　[FW-policy-security]rule name policy_marketing2
　　
　　[FW-policy-security-rule-policy_sec_marketing_2]source-zone trust
　　
　　[FW-policy-security-rule-policy_sec_marketing_2]destination-zone untrust
　　
　　[FW-policy-security-rule-policy_sec_marketing_2]user user-group /default/marketing
　　
　　[FW-policy-security-rule-policy_sec_marketing_2]action permit
　　
　　[FW-policy-security-rule-policy_sec_marketing_2]quit
　　
　　#配置研发员工的安全策略
　　
　　[FW-policy-security]rule name policy_research1
　　
　　[FW-policy-security-rule-policy_sec_research_1]source-zone trust
　　
　　[FW-policy-security-rule-policy_sec_research_1]destination-zone untrust
　　
　　[FW-policy-security-rule-policy_sec_research_1]user user-group /default/research
　　
　　[FW-policy-security-rule-policy_sec_research_1]application app TortoiseSVN HTTP
　　
　　[FW-policy-security-rule-policy_sec_research_1]action permit
　　
　　[FW-policy-security-rule-policy_sec_research_1]quit
　　
　　[FW-policy-security]rule name policy_sec_research2
　　
　　[FW-policy-security-rule-policy_sec_research_2]source-zone trust
　　
　　[FW-policy-security-rule-policy_sec_research_2]destination-zone untrust
　　
　　[FW-policy-security-rule-policy_sec_research_2]user user-group /default/research
　　
　　[FW-policy-security-rule-policy_sec_research_2]action deny
　　
　　[FW-policy-security-rule-policy_sec_research_2]quit