防火墙两种操作方式的区别
个人计算机IP地 址设置情况 与个人计算机的 IP地址无关，即 个人计算机有没 有配置IP地址都 无关紧要 如防火墙支持动 态地址分配就不 需设置，如不支 持则需手工设置
连接到防火墙的接口 专用连接线，一端连 接到计算机COM口， 一端连接到防火墙的 Console控制台接口 普通网线，一端连接 到计算机网口，另一 端连接到防火墙的以 太网接口
进出防火墙含义（2）
防火墙也有接口，防火墙也有交换和路由的能力，所以在防火墙中 也可以定义ACL语句和使用NAT技术。ACL语句或NAT同样需要应 用于防火墙的接口，此时也需要指定作用于接口的方向是inbound 还是outbound。当ACL语句或NAT应用于防火墙的接口时， inbound和outbound关键词的含义和交换及路由技术中的含义相同。 其含义可以前页图。inbound是指进入接口，而outbound是指从接 口出来。
防火墙的默认区域间数据访问安全策略
高 优先级
防火墙的默认区域间数据访问规则
outbound ④ inbound outbound
低 优先级
dmz
区
outbound inbound
local
区
outbound inbound
②
trust
区
inbound outbound inbound outbound③ inbound
防火墙的所有接口 的物理实体以及附 着于其上的IP地址 都属于防火墙的 local区域。
防火墙的其他区域 实际上是接口上所 连接的外部网络实 体。
local区
LAN WAN CON
trust区
trust区
防火墙的e1/0/1接口划分到 trust区，实际上是指该接口 连接的网络属于trust区，该 接口本身仍属于local区域
local区域不能用于连接任何内部网络、外部网络、服务器等，它仅只 是指防火墙本身。
防火墙的默认区域间数据访问安全策略
默认情况下存在4条安全策略
inbound和outbound含义
ACL inbound
RTA
S6/0 g0/0
流入到这个接 口的数据流接 受ACL检查
RTB
S6/1 g0/0
从这个接口流 出的数据流 不受ACL影响
二者在交换和路由技术中的含义
inbound和outbound含义
inbound和outbound在防火墙的区 域间数据访问规则中代表的含义
高
优先级
低
优先级
outbound inbound outbound
dmz
区
outbound inbound outbound inbound outbound inbound inbound
防火墙的local区
Local区域是防火墙的一个特别的区域。 local是“本地、自身”的意思，这个名称意味着是指防火墙自身。的确， 防火墙的local区域是指防火墙本身。我们可以把包含防火墙的物理接口以 及配置在物理接口上的IP地址称为local区域。local区域不能用于连接任何 内部网络、外部网络、服务器等，它仅只是指防火墙本身。 可以看到local区域没有包含任何接口 有时在说到防火墙的区域时，喜欢把local区域排除在外，只说防火墙包 括三个区域。
制台接口进行配置，与以学过的路由器和交换机的配置方式相同 ●每次通过Console口登录到华为防火墙，都需要输入用户名和密码， 初始用户名为admin，密码为Admin@123，用户名和密码区分大小 写。登录后用户可以修改密码。 ●很多操作命令与路由器和交换机中的相同
2
Web浏览器操作方式
用户使用Web浏览器作为操控防火墙的客户端，用户所有的操 作都是在Web浏览器界面中完成的。特点是窗口方式，符合学 学者的认知习惯，简单易学。
8
H3C F100-A
4
Ethernet1/0/4 Ethernet1/0/5 Ethernet1/0/6 Ethernet1/0/7 Ethernet0/0 Ethernet0/1 Ethernet0/2 Ethernet0/3
1
Ethernet0/0/0
3
Ethernet1/0 Ethernet1/1
防火墙的接口
接口的类型---- LAN口、WAN口、Console等接口
防火墙的LAN口
LAN(Local Area Network)意为局域网。防火墙的LAN接口就是用于
连接企业局域网内部网络的接口。华为USG2160系列防火墙有8个 LAN接口，名称分别为Ethernet1/0/0~Ethernet1/0/7；H3C Secpath
防火墙的WAN口
防火墙的WAN接口是用于企业局域网连接外部Internet网络（例 如中国电信、中国联通等互联网服务提供商）的接口。
当只有一个WAN口不够用时，可以用多余的LAN口来替代。也就 是说，防火墙面板上所标注的LAN口和WAN口仅只是网络连接的 参考，并不是一定要把接口连接到局域网或广域网。
1/0/3
1/0/4
1/0/5
1/0/6
1/0/7
0/0/0
LAN
WAN
CON
LAN
WAN CON
DMZ区
PCz
trust区
PCA
IP:172.31.1.2/24
IP:172.16.1.2/24
从PCA ping其网关，结果 ping通 从防火墙 ping PCA，结果 ping通 从PC1 ping其网关，结果 ping不通 从防火墙 ping PC1，结果 ping通
①
untr ust
区
① ② ③ ④
默认数据访问安全策略的具体含义
untrust区 IP:192.168.1.2/24 PC1
untrust区 IP:192.168.1.2/24 PC1
1/0/0
1/0/1
1/0/2
1/0/3
1/0/4
1/0/5
1/0/6
1/0/7
0/0/0
1/0/0
1/0/1
1/0/2
WAN CON
trust区
PCA
IP:172.16.1.2/24
如何理解？
进一步理解防火墙的local区域
untrust区
防火墙的e0/0/0接口划分 到untrust区，实际上是指 该接口连接的网络属于 untrust区，该接口本身仍 属于local区域
untrust区
1/0/0 1/0/1 1/0/2 1/0/3 1/0/4 1/0/5 1/0/6 1/0/7 0/0/0
local
区
outbound inbound
trust
区
untr ust
区
二者在交换和路由技术中的含义
进出防火墙含义（1)
数据从所有高优先级区域向低优先级区域转发称为outbound方 向 当数据从所有低优先级区域向高优先级区域转发时，称为 inbound方向 有时还如下这么说 当数据从所有高优先级区域向低优先级区域转发时，都称为出防 火墙（outbound） 数据从所有低优先级区域向高优先级区域转发称为进防火墙 （inbound） 特别注意，当叙述两个区域的inbound或outbound方向时， 跟所说的两个区域的先后没有关系。
从PCz ping其网关，结果 ping不通 从防火墙 ping PCz，结果 ping通
状态检测防火墙(ASPF)
ASPF,当防火墙检测到某方向有数据访问时,将自动为该数据流产生一 条反方向的ACL，允许该访问数据流的响应数据流顺利返回到源主机。
?
untrust区 IP:192.168.1.2/24 PC1
防火墙的区域（1）
●防火墙默认情况下包括四个区域---local、trust、DMZ、untrust区
●防火墙划分区域是防火墙与路由器、交换机的最大区别
●初学者最不容易理解的地方 ●理解了区域，就对防火墙理解了一大半
防火墙的区域（2）
默认时,有的区域包含接口,有的区域不包含接口
防火墙的trust区用于连接 企业局域网内网
●安全管理中心(SecCenter)
华为公司
华为公司与美国赛门铁克成立合资公司华赛公司生产
●面向中小企业用户的统一安全网关产品(USG系列) ●面向电信级用户的防火墙产品(Eudemon系列)
2.1 简单操作防火墙 1
命令行操作方式
●将厂商附带在设备中的专用配置线连接到防火墙面板的console控
事实：PC1不能ping其网关即防火 墙，但防火墙可以ping通pc1 疑问：Ping操作是双向的，ping通 即代表数据的来和回通道都是可以 通的，在路由器和交换机中绝对不 会出现这种单向ping通的情况。
1/0/0
1/0/1
1/0/2
1/0/3
1/0/4
1/0/5
1/0/6
1/0/7
0/0/0
LAN
对应于① local 对应于②local
trust的inbound方向 trust的outbound方向
对应于local untrust的inbound方向 对应于③ local untrust的outbound方向
对应于local dmz的inbound方向 对应于④ local dmz的outbound方向
5月
企业防火墙产品
H3C公司
●防火墙&VPN(Virtual Private Network，虚拟专用网)产品 ●统一威胁管理(UTM，Unified Threat Managemnet)产品 ●入侵防御系统(IPS，Intrusion Prevention System) ●应用控制网关(ACG，Application Control Gateway)