华为防火墙基础知识

防火墙的发展历史

第一代防火墙：包过滤防火墙
第二代防火墙：代理防火墙
第三代防火墙：状态监测防火墙
第四代防火墙：统一威胁管理防火墙（UTM）
第五代防火墙：下一代防火墙（NGFW）

未来防火墙的发展趋势是基于人工智能（AI）的防火墙

NGFW

NGFW即下一代防火墙，更适用于新的网络环境。NGFW在功能方面不仅要具备标准的防火墙功能，如网络地址转换、状态检测、虚拟专用网和大企业需要的功能，而且要实现IPS和防火墙真正的一体化，而不是简单地基于模块。另外，NGFW还需要具备强大的应用程序感知和应用可视化能力，基于应用策略、日志统计、安全能力与应用识别深度融合，使用更多的外部信息协助改进安全策略，如用户身份识别等。

传统的防火墙只能基于时间、IP和端口进行感知，而NGFW防火墙基于六个维度进行管理控制和防护，分别是应用、用户、内容、时间、威胁、位置。

• 基于应用：运用多种手段准确识别Web应用内超过6000以上的应用协议及其附属功能，从而进行精确的访问控制和业务加速。其中也包含移动应用，如可以通过防火墙区分微信流量中的语音和文字，进而实现不同的控制策略

• 基于用户：借助于AD活动目录、目录服务或AAA服务器等，基于用户进行访问控制、QoS管理和深度防护

• 基于位置：结合全球位置信息，智能识别流量的发起位置，从而获取应用和的发起位置。其根据位置信息实现对不同区域访问流量的差异化控制，同时支持根据IP信息自定义位置

华为防火墙的安全区域

华为防火墙默认有四个区域，分别是Trust、Untrust、DMZ和Local。不同的区域拥有不同的受信优先级，防火墙则根据这些区域的受信优先级来区分区域的保护级别。

• Untrust：非受信任区域，安全级别5，通常定义互联网流量
• Trust：受信任区域，安全级别85，通常定义内网所在区域
• DMZ：非军事化区域，安全级别50，通常定义服务器所在区域
• Local：本地区域，安全级别100，通常定义防火墙本身
• 其他区域：用户自定义区域，默认最多自定义16个区域，自定义区域没有默认优先级，所以需要手工指定

命令行配置区域归属指令

进入接口配置IP地址：
[FW]interface GigabitEthernet1/0/1
[FW-GigabitEthernet1/0/1]ip address 192.168.1.254 255.255.255.0
允许ping流量通过
[FW-GigabitEthernet1/0/1]server-manage ping permit
进入trust区域，将接口添加进该区域
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet1/0/1

命令行配置安全策略指令---------区域间互通

允许信任区域至非信任区域的流量
[FW]service-quality
[FW-policy-security]rule name XXX
[FW-policy-security-rule-XXX]source-zone trust
[FW-policy-security-rule-XXX]destination-zone untrust
[FW-policy-security-rule-XXX]action permit

命令行配置安全策略指令---------配置NAT策略

动态PAT，端口地址转换

配置Easyip
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name EASYIP
[USG6000V1-policy-nat-rule-EASYIP]source-zone trust
[USG6000V1-policy-nat-rule-EASYIP]destination-zone untrust
[USG6000V1-policy-nat-rule-EASYIP]action nat easy-ip

基于地址池配置NAPT

首先保障区域间互通

配置NAPT中的地址池
[USG6000V1]nat address-group pool
[USG6000V1-address-group-pool]mode pat
[USG6000V1-address-group-pool]section x.x.x.x x.x.x.x（ip范围）
配置NAT策略----实现私有地址转换公有地址
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name napt
[USG6000V1-policy-nat-rule-napt]source-zone trust
[USG6000V1-policy-nat-rule-napt]destination-zone untrust
[USG6000V1-policy-nat-rule-napt]action nat address-group pool

服务器映射发布

首先保障区域间互通
[USG6000V1]nat server natserver zone untrust protocol tcp global 200.1.1.11 www inside 1
92.168.3.10 www no-revers
no-reverse： 不允许服务器主动访问外网