华为防火墙

Posted 2021-03-24

一，华为防火墙产品介绍

USG2110，USG6600，USGP500，NGFW
NGFW，是下一代防火墙，

二，防火墙的工作原理

（1）华为防火墙具有三种工作模式：路由模式，透明模式，混合模式

1.路由模式

：就相当于路由器，具有路由器功能
2

.透明模式

：相当于交换机，具有交换机功能
（2）华为防火墙的安全区域划分
几种常见的区域如下：

Trust区域：

主要用于连接公司内部网络，优先级为85，安全等级高

DMZ区域:

非军事化区域，优先级为50

Untrust区域

: 常定义外部网络，优先级为5

Local区域

： 通常定义防火墙本身，优先级为100

提示

：华为防火墙中，一个接口只能加入一个安全区域

三，防火墙Inbound和Outbound

防火墙基于区域之间处理流量，即使由防火墙自身发起也属于Local区域和其他区域之间的流量传递。为两个方向：

入方向（Inbound）：数据由低级别的安全区域向高级别的安全区域传输方向
出方向：（Outbound）：数据由高级别的安全区域向低级别的安全区域传输方向

四，状态化信息
防火墙通过五元组来唯一地区分一个数据流：源IP，目标IP，协议，源端口及目标端口
查看会话表的命令：
[**fw]display firewall session table

http表示协议
1.1.1.1表示源地址
2049表示端口号
2.2.2.2表示目的地址
80表示目的端口号
五，安全策略




六，设备管理方式
（1）AAA介绍

网络设备的AAA认证方式有本地身份验证，远程身份验证俩大类

七。实验案例：

实验要求：1.实现在内部的clound1上可以telnet、ssh以及web
方式访问防火墙
2.实现内部的p1可以访问外部的pc2，而p3不可以访问
3.实现外部的p2可以访问dmz中的服务器（ftp，http以及icmp）
全部自行配好ip
telnet如下：防火墙配置
电脑2那一块是Untrust区域
云桥接的虚拟机是trust区域
电脑5是DMZ区域
电脑1与电脑3是外部区域






测试从cloud1登录防火墙，首次登录需要修改密码，然后再重新用新密码连接



WEB方式配置如下



配置完成，用云桥接虚拟机访问https:///192.168.0.1:8443 就会出来如下：
配置SSH方式登录
进入g0/00配置


一路回车就可以



让内部的电脑1可以ping通外部的主机



PING完查看会话可以看到

让外部的主机可以访问dmz中的ftp，http以及ping

测试：从电脑2 ping dmz中的主机192.168.3.2

实验完成！！！！！！！！！