華爲防火牆

一，華爲防火牆產品介紹
USG2110，USG6600，USGP500，NGFW
NGFW，是下一代防火牆，
二，防火牆的工做原理
（1）華爲防火牆具備三種工做模式：路由模式，透明模式，混合模式
1.路由模式：就至關於路由器，具備路由器功能
2.透明模式：至關於交換機，具備交換機功能
（2）華爲防火牆的安全區域劃分
幾種常見的區域以下：
Trust區域：主要用於鏈接公司內部網絡，優先級爲85，安全等級高
DMZ區域:非軍事化區域，優先級爲50
Untrust區域: 常定義外部網絡，優先級爲5
Local區域： 一般定義防火牆自己，優先級爲100
提示：華爲防火牆中，一個接口只能加入一個安全區域
三，防火牆Inbound和Outbound
防火牆基於區域之間處理流量，即便由防火牆自身發起也屬於Local區域和其餘區域之間的流量傳遞。爲兩個方向：

入方向（Inbound）：數據由低級別的安全區域向高級別的安全區域傳輸方向
出方向：（Outbound）：數據由高級別的安全區域向低級別的安全區域傳輸方向

四，狀態化信息
防火牆經過五元組來惟一地區分一個數據流：源IP，目標IP，協議，源端口及目標端口
查看會話表的命令：
[**fw]display firewall session table

http表示協議
1.1.1.1表示源地址
2049表示端口號
2.2.2.2表示目的地址
80表示目的端口號
五，安全策略




六，設備管理方式
（1）AAA介紹

網絡設備的AAA認證方式有本地身份驗證，遠程身份驗證倆大類

七。實驗案例：

實驗要求：1.實如今內部的clound1上能夠telnet、ssh以及web
方式訪問防火牆
2.實現內部的p1能夠訪問外部的pc2，而p3不能夠訪問
3.實現外部的p2能夠訪問dmz中的服務器（ftp，http以及icmp）
所有自行配好ip
telnet以下：防火牆配置
電腦2那一塊是Untrust區域
雲橋接的虛擬機是trust區域
電腦5是DMZ區域
電腦1與電腦3是外部區域






測試從cloud1登陸防火牆，首次登陸須要修改密碼，而後再從新用新密碼鏈接



WEB方式配置以下



配置完成，用雲橋接虛擬機訪問https:///192.168.0.1:8443 就會出來以下：
配置SSH方式登陸
進入g0/00配置


一路回車就能夠



讓內部的電腦1能夠ping通外部的主機



PING完查看會話能夠看到

讓外部的主機能夠訪問dmz中的ftp，http以及ping

測試：從電腦2 ping dmz中的主機192.168.3.2

實驗完成！！！！！！！！！