防火墙必知必会技术理论与配置实验（带完整演示）

防火墙必知必会技术理论与配置实验（带完整演示）

个人防火墙,360防火墙,防火夹芯板　　1、防火墙主要实现内部信任网络与公共不可信任的网络隔离，进行访问控制。【关键词：区域隔离、访问控制】

　　个人防火墙,360防火墙,防火夹芯板2、防火墙主要可以串行部署（主流），也可以旁路部署。串行部署可以检测所有通过防火墙的流量，旁路部署只能检测通过策略路由等方式引流通过防火墙的流量。需要区别IDS和IPS，IDS旁路部署，只能检测安全威胁，不能阻断攻击。IPS串行部署，既可以检测安全威胁，也可以阻断攻击。

　　（1）华为防火墙默认有四个安全域：Trust、Untrust、DMZ和Local，即信任区域、非信任区域、非军事化区域和本地区域。

　　local、trust、DMZ、untrust这四个是系统自带不能删除，除了这四个域之外，还可以自定义域。

　　安全域等级Local>

　　Trust>

　　DMZ>

　　Untrust，自定义的域的优先级是可以自己调节的。

　　域与域之间如果不做策略默认是deny，即任何数据如果不做策略是通不过的，如果是在同一区域的就相当于二层交换机一样直接转发。

　　优先级低的域向优先级高的域方向就是inbound，反之就是outbound。

　　说明：ENSP中防火墙有USG5500和USG6000V，两者配置略有差异。前者是老的UTM设备，已经淘汰，现在华为主推的是USG6000系列，故实验用USG6000V。

　　第10步：验证端口映射是否成功，Internet可以正常访问内部Web服务器。