華為防火牆配置實驗：防火牆的區域特性與劃分

在網絡環境中，保護網絡安全是至關重要的任務。而華為防火牆作為一種廣泛應用的安全裝置，扮演着關鍵的角色。為了有效地保護網絡資源和敏感資料，合理的防火牆區域特性與劃分是至關重要的。

防火牆的區域特性與劃分是建立在安全原則和通路控制需求的基礎上的。通過将網絡劃分為不同的安全區域，可以實作對不同區域的流量和通路行為進行精細化的控制和監控。常見的安全區域包括 非受信區（Untrust）、非軍事化區（DMZ）、受信區（Trust）、本地區域（Local）等。

通過配置合适的安全區域，可以實作網絡的安全隔離、流量過濾、通路控制和威脅防護等功能。防火牆的安全區域特性允許網絡管理者根據網絡環境的安全政策和需求，定制并優化網絡的安全性能。

本實驗旨在通過對華為防火牆的區域特性與劃分，通過實際配置與操作，了解不同區域的功能與特點，并通過實驗結果驗證其在網絡安全中的作用。以幫助網絡管理者更好地了解和應用防火牆的區域特性，進而建立高效、安全的網絡環境。

網絡拓撲圖：

出口為防火牆的網絡拓撲

華為防火牆的預設安全區域

華為防火牆系統預設有四個安全區域，它們的優先級不能更改。

這四個區域分别是：

1）非受信區（Untrust）優先級5，

2）非軍事化區（DMZ）優先級50，

3）受信區（Trust）優先級85，

4）本地區域（Local）優先級100。

注意：

如果不滿足組網需求，可以自行建立安全區域，最多可以建立16個（包括預設的4個），但是優先級不能與現有區域優先級相同。

防火牆的區域的安全等級

1、在華為防火牆中，不同的安全區域具有不同的信任程度，這些程度用安全等級來表示，範圍為1到100。

2、安全等級數字越大，表示該區域的網絡越可信。在預設的四個内置區域中，每個區域都有對應的安全等級。本地區域（Local）的安全等級為100，受信區域（Trust）為85，非軍事化區域（DMZ）為50，非受信區域（Untrust）為5。

注意：

1、區域必須有一個安全等級，系統已經為預設區域規定了等級。

2、如果我們要建立一個區域，它預設是沒有安全等級的，是以需要為該區域定義一個等級，并與相應的接口關聯。

3、華為防火牆将從低等級安全區域發送到高等級安全區域的資料包稱為入方向（inbound），而從高等級安全區域發送到低等級安全區域的資料包稱為出方向（outbound）。

通過了解這些安全區域的安全等級和資料包流向，我們可以更好地規劃和配置防火牆，確定網絡的安全性和可信度。

關于防火牆配置案例：

<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]dis cur

dhcp enable
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address dhcp-alloc
#

interface GigabitEthernet1/0/0
 undo shutdown
 ip address 192.168.11.254 255.255.255.0
 dhcp select interface
 dhcp server ip-range 192.168.11.2 192.168.11.250
 dhcp server gateway-list 192.168.11.254
 dhcp server dns-list 223.5.5.5 114.114.114.114
 
 #
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 192.168.12.254 255.255.255.0
 dhcp select interface
 dhcp server ip-range 192.168.12.2 192.168.12.250
 dhcp server gateway-list 192.168.12.254
 dhcp server dns-list 223.5.5.5 114.114.114.114
#
           

注意：

LSW1和LSW2作為傻瓜式交換機來使用，不用作任何設定。

在實際網絡環境中，當購買交換機後直接連上電源就可以使用。因為華文交換機初始狀态預設所有端口都在同一個vlan裡面。vlan1是交換機預設的vlan是不可以被删除的，對他不做任何配置就可以當做一台普通的交換機使用。

測試：

檢視防火牆接口資訊：

PC機：

兩台PC機，已經擷取到了IP，如下：

PC1pingPC2 ：

結果不通。。。。

那如何處理呢？我們來檢視一下 防火牆預設的安全區域。

#檢視區域
[USG6000V1]dis zone 
2023-05-25 10:05:46.600 
local
 priority is 100
 interface of the zone is (0):
#
trust
 priority is 85
 interface of the zone is (1):
    GigabitEthernet0/0/0
#
untrust
 priority is 5
 interface of the zone is (0):
#
dmz
 priority is 50
 interface of the zone is (0):
#           

發現我們沒有配置安全區域，那麼我們開始配置安全區域：

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1
[USG6000V1-zone-trust]
[USG6000V1-zone-trust]quit

[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/2
[USG6000V1-zone-untrust]quit
[USG6000V1]
[USG6000V1]           

配置好以後，我們 檢視區域：

開啟允許ping 功能：

[USG6000V1]
[USG6000V1]interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit 
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]
[USG6000V1]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit 
[USG6000V1-GigabitEthernet1/0/1]
[USG6000V1-GigabitEthernet1/0/1]quit
[USG6000V1]           

測試：

測試結果為：兩台模拟終端PC 均能夠互相通信，同時也能夠與各自網關通信。

寫在最後：

自我設限，固步自封，唯有突破極限，才能發掘潛能。以上就是本期整理的《華為防火牆配置實驗：防火牆的區域特性與劃分》，自己經曆過的風雨，是以知道你也會堅強。你的【評論】+【點贊】+【關注】，我會自動解讀為認可。

作者簡介：

我是“網絡系統技藝者”，系統運維工程師一枚，持續分享【網絡技術+系統運維技術】幹貨。如果您覺得文章還可以，就點贊+關注+收藏吧，也許在以後的某個時間能夠用的到。