华为防火墙入门难？一文带你学会防火墙基础知识~

1

防火墙的工作模式

路由模式：如果华为防火墙连接网络的接口配置IP地址，则认为防火墙工作在路由模式下。

透明模式：如果华为防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下。

混合模式：如果华为防火墙既存在工作在路由模式的接口（接口具有IP地址） 又存在工作在透明模式的接口（接口无P地址） 则防火墙工作在混合模式下。

2

华为防火墙的安全区域划分

Trust区域：主要用于连接公司内部网络，优先级为85，安全等级较高。

DMZ区域：在防火墙中通常定义为需要对外提供服务的网络，其安全性介于Trust区域和Untrust区域之 间优先级为50，安全等级中等 

Untrust区域：通常定义外部网络，优先级功5，安全级别很低，Untrust区域表示不受信任的区域。

Local区域：通常定义防火墙本身，优先级为100。防火墙除了转发区域之间的报文之外还需要自身接收或发送流量。

其他区域：用户自定义区域，默认最多自定义16个区域，自定义区域没有默认优先级，所以需要手工指定。

3

防火墙Inbound和Outbound

入方向(Inbound)：数据由低级别的安全区域向高级别的安全区域传输的方向 。
出方向(Outbound)：数据由高级别的安全区域向低级别的安全区域传输的方向。

二.

设备管理方式

1

Telnet管理方式及配置

(1)配置初始管理密码

(2)配置防火墙的接口IP地址

(3)打开防火墙的Telnet功能

(4)配置防火墙允许远程管理

(5)将防火墙接口GigabitEthernet0/0/0加入安全区域

(6)将接口加入安全区域

(7)将防火墙配置域间包过滤，以保证网络基本通信正常

(8)配置认证模式及本地用户信息

(9)测试从telnet登录防火墙，首次登录需要修改密码，然后再重新用新密码连接

2

配置Web方式登录设备

3

配置SSH方式登录设备

4

配置安全策略

(1)让内部的pc1可以ping通外部的主机

查看会话

(2)让外部的主机可以访问dmz中的ftp，http以及ping

三.

NAT概述

1

NAT分类

1、NAT No- PAT：类似于Cisco的动态转换，只转换源IP地址不转换端口，属于多对多转换。
2、NAPT（网络地址和端口转换） ：类似于Cisco 的PAT转换，NAPT既转换报文的源地址，又转换源端口。转换后的地址不能是外网接口IP地址，属于多对多或多对一转换。
3、出接口地址（Easy-IP）：和NAPT— 样，既转换源IP地址又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址，属于多对—转换。
4、Smart NAT (智能转换）：通过预留一个公网地址进行NAPT转换而其他的公网地址用来进行NAT No-PAT转换。
5、三元组NAT：与源IP地址源端口和协议类型有关的—种转换，将源IP地址和源端口转换为固定公网IP地址和端口。

2

NAT配置

（1）NAT No- PAT方式的地址转换

配置网络参数及路由

配置安全策略

配置NAT地址组

配置NAT策略

针对转换后的全局地址（NAT地址组中的地址）配置黑洞路由

（2）出接口地址（easy-ip）方式的地址转换
之前同上，配置NAT策略

3

NAT Server

配置网络参数及路由

配置安全策略

配詈FTP应用层检测（默认已开启）

配置 NAT Server

配置黑洞路由

查看名称为natpolicy的NAT策略

四.

防火墙双机热备

1

双机热备配置

模式

（1）热备模式：同一时间只有一台防火场转发数据包，其他防火墙不转发数据包，但是会同步会话表及Server-map表。
（2）负载均衡模式：同一时间，多台防火姗同时转发数据，但每个防火墙又作为其他防火墙的备用设备，即每个防火墙既是主用设备也是备用设备，防火墙之间同步会话表及Server-map表。

接口加入安全区域并配置安全策略

配置VRRP备份组

查看双机热备的状态信息

查看心跳接口状态