华为防火墙配置

        防火墙属于网络安全设备，通常位于网络边界，用于隔离不同安全级别的网络，保护一个网络免受来自另一个网络的攻击和入侵，这种“隔离”不是一刀切，是有控制地隔离，允许合法流量通过防火墙，禁止非法流量通过防火墙。

防火墙介绍

     防火墙（Firewall）是一种隔离技术，使内网和外网分开，可以防止外部网络用户以非法手段通过外部网络进入内部网络，保护内网免受外部非法用户的侵入

防火墙作用

网络中的防火墙有以下作用

• 防止因特网的危险传播到私有网络
• 在网络内部保护大型机和重要的资源（如数据）
• 控制内部网络的用户对外部网络的访问

NGFW

                NGFW全称是Next Generation Firewall，即下一代防火墙，最早由Gartner提出，NGFW更适用于新的网络环境， NGFW在功能方面不仅具备标准的防火墙功能，如网络地址转换、状态检测、VPN和大企业需要的功能，而且要实现IPS和防火墙真正的一体化，而不是简单地基于模块，另外，NGFW还需要具备强大的应用程序感知和应用可视化能力，基于应用策略、 日志统计、安全能力与应用识别深度融合，使用更多的外部信息协助改进安全策略，如用户身份识别等传统的防火墙只能基于时间、IP和端口进行感知，而NGFW防火墙基于六个维度进行管控和防护，分别是应用、用户、内容、时间、威胁、位置。

安全区域

         安全区域（Security Zone）简称为区域（Zone），防火墙通过区域区分安全网络和不安全网络，在华为防火墙上安全区域是一个或多个接口的集合，这些接口所包含的用户具有相同的安全属性，每个安全区域具有全局唯一的安全优先级，设备认为在同一安全区域内部发生的数据流动是可信的，不需要实施任何安全策略，只有当不同安全区域之间发生数据流动时，才会触发防火墙的安全检查，并实施相应的安全策略，这是防火墙区分于路由器的主要特性，防火墙通过安全区域来划分网络，并基于这些区域控制区域间的报文传递，当数据报文在不同的安全区域之间传递时，将会触发安全策略检查。

        华为防火墙中，一个接口只能加入一个安全区域，华为传统的防火墙默认情况下对从高优先级区域到低优先级区域方向的流量默认放行，但是最新的NGFW防火墙默认禁止一切流量。

（1）Trust区域

     主要用于连接公司内部网络，优先级为85，安全等级较高

（2）DMZ区域

     非军事化区域，是一个军事用语，是介于严格的军事管制区和公共区域之间的一种区域，在防火墙中通常定义为需要对外提供服务的网络，其安全性介于Trust区域和Untrust区域之间，优先级为50，安全等级中等

（3）Untrust区域

     通常定义外部网络，优先级为5，安全级别很低，Untrust区域表示不受信任的区域，互联网上威胁较多，所以一般把Internet等不安全网络划入Untrust区域

（4）Local区域

     通常定义防火墙本身，优先级为100，防火墙除了转发区域之间的报文之外，还需要自身接收或发送流量，如网络管理、运行动态路由协议等，由防火墙主动发起的报文被认为是从Local区域传出的，需要防火墙响应并处理（不是穿越）的报文被认为是由Local区域接收并进行相应处理的，Local区域并不需要添加接口，但所有防火墙自身接口隐含属于Local区域，虽然我们把一个接口划分到某个区域中，但也只是表示由这个接口发送或接收的报文属于该区域，并不代表是该接口本身

（5）其他区域

     用户自定义区域，默认最多自定义16个区域，自定义区域没有默认优先级，所以需要手工指定

Inbound和Outbound

        防火墙基于区域之间处理流量，即使由防火墙自身发起的流量也属于Local区域和其他区域之间的流量传递，当数据流在安全区域之间流动时，才会激发华为防火墙进行安全策略的检查，即华为防火墙的安全策略通常都是基于域间（如Untrust区域和Trust区域之间）的，不同的区域之间可以设置不同的安全策略，域间的数据流分两个方向Inbound（入方向）和Outbound（出方向），在防火墙技术中，通常把两个方向的流量区别来看待，因为防火墙的状态化检测机制，所以针对数据流通常只重点处理首个报文。

（1）Inbound

     数据由低级别的安全区域向高级别的安全区域传输的方向，例如，从Untrust区域（优先级5）的流量到Trust区域（优先级85）的流量就属于Inbound方向

（2）Outbound

     数据由高级别的安全区域向低级别的安全区域传输的方向，例如，从DMZ 区域（优先级50）的流量到Untrust区域的流量就属于Outbound方向

实验拓扑图

防火墙FW1配置：

防火墙配置

<USG6000V1>system-view 
[USG6000V1]undo info-center enable 
[USG6000V1]interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 10.0.12.1 24	
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]interface GigabitEthernet 1/0/1	
[USG6000V1-GigabitEthernet1/0/1]ip address 172.16.1.1 24	
[USG6000V1-GigabitEthernet1/0/1]q 

将接口加入trust区域
[USG6000V1]firewall zone trust 	
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V1-zone-trust]q

将接口加入untrust区域
[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/1
[USG6000V1-zone-untrust]q

配置安全策略允许192.168.10.0网段通过
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name t_2_u	
[USG6000V1-policy-security-rule-t_2_u]source-zone trust  
[USG6000V1-policy-security-rule-t_2_u]destination-zone untrust  
[USG6000V1-policy-security-rule-t_2_u]source-address 192.168.10.0 mask 255.255.255.0
[USG6000V1-policy-security-rule-t_2_u]action permit 
[USG6000V1-policy-security-rule-t_2_u]q

[USG6000V1]ip route-static 192.168.10.0 24 10.0.12.2
[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 172.16.1.2

PC端192.168.10.0网段可以Ping通1.1.1.1

交换机10.0.12.0网段无法Ping通1.1.1.1