第三章，防火墙组网

防火墙控制

带内管理、带外管理

带：可以理解为网络

带内管理： telnet 、 SSH 、 web ---- 网线直接连接设备进行管理

带外管理：通过 console

web---大部分设备只要支持 web 管理模式，都会预留一个 管理口 。模拟器上的防火墙 USG6000V 版本的GE0/0/0 接口就是上图中的 M 口。在出厂时，已经默认进行了配置 ---> 192.168.0.1/24 ，并且该接口开 启了 web 登录和 dhcp 功能。 --> 模拟器上仅配置了 IP 地址。

云配置：（详情防御课程05）

前置配置

默认账号： admin 默认密码： Admin@123

新密码 ---admin@123

在浏览器中输入， https://192.168.0.1:8443/ 地址，进行 web 页面访问。

防火墙管理员

管理员指的是可以登录到防火墙上进行控制的用户。 用户指的是访问网络资源的主体 。

防火墙组网

防火墙的部署，非常灵活。可以类似于二层交换机、三层交换机、路由器等设备

接口模式

三层接口（路由）

虚拟系统空间，就类似于 VRF 的概念，而在 FW 中，管理口处于 default 的 VRF 中，其余接口默认都在Public空间中。 这相当于将这个管理口单独放置在一个空间，与其他所有接口相互隔离，仅做到 web 控 制的作用 。也就意味着管理口和其他接口无法 ping 通。

vitual-if0 接口是不同的虚拟空间互通时，使用的接口。也是虚拟空间创建以后自动产生的一个接

口。

默认网关（路由表协议Urn） ---> 配置 IP 地址后，会在防火墙上自动生成一条指向该 IP 地址的缺省路由，并且出接口为该 接口，协议 “ 无 ” ，优先级 70 。 --- 注意与该接口 IP 地址属于相同网段。

[FW-GigabitEthernet1/0/0]gateway 1.1.1.2

三层进入二层：

[FW-GigabitEthernet1/0/1]portswitch --- 需要让接口保持默认配置（undo）

二层接口（交换）

旁路检测接口

旁路镜像接口不能配置 IP ，也不支持数据转发，只是用来接收从外部镜像过来的镜像流量 。

进入旁挂检测接口：

[FW-GigabitEthernet1/0/1]portswitch --- 先修改为二层模式

[FW-GigabitEthernet1/0/1]detect-mode tap --- 在设置旁路检测机制

接口对

接口对 --- 即一进一出两个接口 。 将两个同类型接口组成接口对后，从一个接口进入的流量固定从另

一个接口转发出去，不再需要查询路由表或 MAC 地址表 。 --- 实现物理上的直通 。

配置：

对应命令行：

1 、将接口模式调整为二层接口，并且为接口对模式

[FW-GigabitEthernet1/0/0]portswitch

[FW-GigabitEthernet1/0/0]detect-mode inline

[FW-GigabitEthernet1/0/1]portswitch

[FW-GigabitEthernet1/0/1]detect-mode inline

2 、创建接口对

[FW]pair-interface name aaa --- 创建接口对

[FW-pair-interface-aaa]pair GigabitEthernet 1/0/0 GigabitEthernet 1/0/1

其他接口的web页面操作：

防火墙安全区域：划地而治等级森严

在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为 “ 可信任的 ” ，它们之间的通信时 不受防火墙的干涉的 。 而各个被防火墙分割的网络之间，必须按照防火墙规定的 “ 策略 ” 进行访问 。

安全区域：由一个或多个接口组成的集合，是防火墙区别于路由器的主要特性 。

默认情况下，报文在不同的安全区域之间流动时，才会触发安全检查。在同一个安全区域中流动 时，不会触发安全检查 。但是，华为设备也支持对通区域流动的流量进行检查。

防火墙默认存在的安全区域

报文在安全区域之间的流动方向

不同网络的受信任程度是不同， 依靠优先级来判断防火墙对一个安全区域的信任度 。

每一个安全区域都有唯一的一个优先级， 1-100 数字来标识，数字越大，代表该区域的受信任程度越 高。

规定：报文从低级别的安全区域向高级别的安全区域流动时，为入方向（ inbound ）；从高级别的

安全区域向低级别的安全区域流动时为出方向（ outbound ）。

问题：防火墙如何判断报文在哪两个安全区域之间流动？

首先，原区域很容易确定， 防火墙从哪个接口接收到的报文，该接口所属的安全区域就是报文的源

安全区域 。

目的区域判断：

路由模式---依靠路由表来确定报文的转发接口，从而该接口的安全区域属于目的安全区域。
交换模式---依靠MAC地址表来确定报文的转发接口，从而该接口的安全区域属于目的安全区域。

不同模式安全区域流向

路由模式---防火墙接口采用三层接口

交换模式---防火墙接口处于二层接口（透明模式）

旁路检测模式

混合模式

暂时无

安全区域配置

命令：

[FW]firewall zone name test --- 创建安全区域（区域名字text自定义）

[FW-zone-test]set priority 30 --- 设置优先级

[FW-zone-test]add interface GigabitEthernet 1/0/6 --- 将某个接口加入到该安全区域