华为防火墙

一，华为防火墙产品介绍
USG2110，USG6600，USGP500，NGFW
NGFW，是下一代防火墙，
二，防火墙的工做原理
（1）华为防火墙具备三种工做模式：路由模式，透明模式，混合模式
1.路由模式：就至关于路由器，具备路由器功能
2.透明模式：至关于交换机，具备交换机功能
（2）华为防火墙的安全区域划分
几种常见的区域以下：
Trust区域：主要用于链接公司内部网络，优先级为85，安全等级高
DMZ区域:非军事化区域，优先级为50
Untrust区域: 常定义外部网络，优先级为5
Local区域： 一般定义防火墙自己，优先级为100
提示：华为防火墙中，一个接口只能加入一个安全区域
三，防火墙Inbound和Outbound
防火墙基于区域之间处理流量，即便由防火墙自身发起也属于Local区域和其余区域之间的流量传递。为两个方向：

入方向（Inbound）：数据由低级别的安全区域向高级别的安全区域传输方向
出方向：（Outbound）：数据由高级别的安全区域向低级别的安全区域传输方向

四，状态化信息
防火墙经过五元组来惟一地区分一个数据流：源IP，目标IP，协议，源端口及目标端口
查看会话表的命令：
[**fw]display firewall session table

http表示协议
1.1.1.1表示源地址
2049表示端口号
2.2.2.2表示目的地址
80表示目的端口号
五，安全策略




六，设备管理方式
（1）AAA介绍

网络设备的AAA认证方式有本地身份验证，远程身份验证俩大类

七。实验案例：

实验要求：1.实如今内部的clound1上能够telnet、ssh以及web
方式访问防火墙
2.实现内部的p1能够访问外部的pc2，而p3不能够访问
3.实现外部的p2能够访问dmz中的服务器（ftp，http以及icmp）
所有自行配好ip
telnet以下：防火墙配置
电脑2那一块是Untrust区域
云桥接的虚拟机是trust区域
电脑5是DMZ区域
电脑1与电脑3是外部区域






测试从cloud1登陆防火墙，首次登陆须要修改密码，而后再从新用新密码链接



WEB方式配置以下



配置完成，用云桥接虚拟机访问https:///192.168.0.1:8443 就会出来以下：
配置SSH方式登陆
进入g0/00配置


一路回车就能够



让内部的电脑1能够ping通外部的主机



PING完查看会话能够看到

让外部的主机能够访问dmz中的ftp，http以及ping

测试：从电脑2 ping dmz中的主机192.168.3.2

实验完成！！！！！！！！！