安全策略，是控制防火墙对流量转发，及对流量进行内容安全一体化检测的策略；

当防火墙收到流量后，对流量的属性（五元组、用户、时间段等）进行识别，然后与安全策略的条件进行匹配。如果条件匹配，则此流量被执行对应的动作；

策略组成

安全策略的组成有：
1）匹配条件：用于根据条件来匹配数据包；
2）动作：对匹配的数据包所进行的动作：
—- 如果为“允许”，则可配置安全配置文件安全配置文件（可选），用于实现内容安全，对内容进行检测；
—- 如果为“禁止”，则可配置反馈报文，用于通知发送流量的用户；

动作

如果动作为“允许”，则对流量进行如下处理：
1）如果没有配置内容安全检测，则允许流量通过；
2）如果配置内容安全检测，最终根据内容安全检测的结论来判断是否对流量进行放行。内容安全检测包括反病毒、入侵防御等，它是通过在安全策略中引用安全配置文件实现的。如果其中一个安全配置文件阻断该流量，则防火墙阻断该流量。如果所有的安全配置文件都允许该流量转发，则防火墙允许该流量转发；

如果动作为“禁止”，则对流量进行如下处理：
1）防火墙不仅可以将报文丢弃，
2）还可以针对不同的报文类型选择发送对应的反馈报文（Reset 客户端：防火墙向 TCP 客户端发送 TCP reset 报文；Reset 服务器：防火墙向 TCP 服务器发送 TCP reset 报文；ICMP 不可达：FW 向报文客户端发送 ICMP 不可达报文）。发起连接请求的客户端/服务器收到防火墙发送的阻断报文后，可以快速结束会话，并让用户感知到请求被阻断；

更多详细信息，可以参考文档，“安全策略”章节：https://support.huawei.com/hedex/hdx.do?docid=EDOC1100084128

匹配过程

当配置多条安全策略规则时：
1）安全策略的匹配按照策略列表的顺序执行，即从策略列表顶端开始逐条向下匹配；
2）如果流量匹配某个安全策略，将不再进行下一个策略的匹配。安全策略的配置顺序很重要，需要先配置条件精确的策略，再配置宽泛的策略；

默认禁止：系统默认存在一条缺省安全策略 default。缺省安全策略位于策略列表的最底部，优先级最低，所有匹配条件均为 any，动作默认为禁止。如果所有配置的策略都未匹配，则将匹配缺省安全策略 default；