华为防火墙基本1

形态：软件防火墙和硬件防火墙

保护对象：单机防火墙和网络防火墙

访问控制方式：包过滤、代理和状态检测

其中包过滤方式无法检测数据的载荷部分，同时当防火墙的过滤条目过多后，对数据的转发也会变慢，且这是一种静态的过滤方式，对于端口的动态变化无法适应。

代理是工作在应用层，使用对应协议的应用层协议对其内容进行审核，只有当内容审核通过后，才能够被传入内部的信任区域，但是因为是工作在应用层的软件进行相关包内容的审核，所以速度较慢，而且升级困难，周期较长。

因为上述的方式都有一定的缺点，所以并没有被很好的广泛使用。

状态检测它是包过滤的拓展，也称为基于连接状态的包过滤，它会考虑包的前后文，它会对包的会话会进行相应的记录和维护。

防火墙的组网方式

1、防火墙可以以交换机的形式加入到拓扑当中，然后以一种透明的方式进行安全的防护

2、同时防火墙也可以以路由的方式去抵挡外部的一些流量，与上面的组网方式不同的就是，该方式是工作在三层架构，需要配置一些IP地址将网络设备进行互连，而上面的交换机架构，直接将防火墙放入拓扑中即可，工作在三层的防火墙的特路由特性不是很强，对于BGP，ISIS不支持，而且路由性能肯定也是比不上路由器的。

防火墙的安全区域

华为防火墙有四个默认区域：
local：默认优先级100，local指代自己

trust：默认优先级85

untrust：默认优先级5

dmz：默认优先级50

自定义区域：可以自定义区域的名字，以及优先级其取值范围为1-100，但是取值不能与上面的四个默认区域的优先级相同。

高优先级区域能够访问低优先级区域，但是低优先级区域不能访问高优先级区域。

firewall zone name xxx:创建一个对应的安全区域

区域视图下：set priority xxx:设置对应区域的优先级

区域视图下：add interface g0/0/1 :将接口添加到对应的区域中

注意：一个接口只能计入到一个区域中