华为防火墙

NAT：网络地址转换。将内网的地址转换为公网IP，进而去访问外部互联网的技术。

NAT分类：

Basic NAT：IP地址转换

NPAT：IP+端口号转换

NAT主要实现方式：

静态NAT：静态一对一

1、配置防火墙的接口IP和安全区域

2、创建安全策略

3、创建NAT策略

4、静态路由

防火墙

控制流量的转发（路由器是通、转发）

1、使用防火墙的NAT

EasyIP：基于出接口的网络地址+端口转化NAPT

地址池NAT：基于地址池的NAPT

NAT server：端口映射/服务器映射，将内部服务器发布到外网。

2、使用防火墙搭建VPN-IPSec VPN

一、VPN

Virtual  Private   Network  虚拟专用网络

1、VPN特性

虚拟、专用

2、VPN类别

MPLS VPN：运营商专用网络

IPSec VPN：用于站点到站点

SSL  VPN：用于员工远程访问

L2TP VPN：用于员工远程访问

3、VPN优点

（1）成本低

（2）配置灵活。（VPN为逻辑网络）不受企业内部和外部互联网架构的限制，可扩展性强。

（3）数据的传输安全。①数据防窃取。采用加密技术将数据进行加密，即使数据被拦截，很难得到原始数据。②确保数据不被篡改，采用哈希（单向的加密）技术。③秘钥认证技术进行身份认证。

（4）不受地域限制，支持移动业务

（5）隐私性强，隐藏IP地址

IPSec

互联网安全协议，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输的协议簇。

（1）认证头（AH）提供无连接数据完整性、消息认证以及防重放攻击保护，主要确保数据的完整性。

（2）封装安全载荷（ESP）提供机密性、数据源认证、无连接完整性等，主要确保数据的机密性。

（3）安全关联（SA）提供算法和数据包。主要提供AH、ESP操作所需的参数

（4）密钥协议（IKE）提供对称密码的钥匙的生存和交换（自动管理密钥）

配置场景：

1、配置防火墙的接口地址和安全区域

2、创建地址对象

3、创建安全策略

4、NAT策略（看需求）

5、制定路由

6、创建IPSec  VPN

点到点：本段接口、对端接口、与共享密钥，两端要完全一样，

待加密数据流

点到多点：会等待对端的传输，它不主动

3、使用策略路由+IP-Link完成链路冗余备份

完成双机热备：一台工作，一台备份

负载分担/负载均衡：两台全部工作，并且作为对方的备份设备进行备份