防火牆是網絡設備中一個很重要的設備，從字面意思理解，用來隔離火災，阻止火勢從一個區域蔓延到另一個區域。引入到通信領域，防火牆主要用于保護一個網絡區域免受來自另一個網絡區域的網絡攻擊和網絡入侵行為。

目前防火牆主要分為三種，包過濾、應用代理、狀态監測

包過濾防火牆：現在靜态包過濾防護牆市面上已經看不到了，取而代之的是動态包過濾技術的防火牆。

代理防火牆：因為一些特殊的報文可以輕松突破包過濾防火牆的保護，比如SYN攻擊、ICMP洪水攻擊，所以代理服務器作為專門為用戶保密或者突破訪問權限的數據轉發通道應用防火牆出現了。其實用了一種應用協議分析的新技術。

狀态監測防火牆：基于動态包過濾發展而來，加入了一種狀态監測的模塊，近一點發展會話過來功能，會話狀态的保留是有時間限制的。

在國内也出現一些比較好的産品，例如華為的USG系列，深信服等等。華為防火牆産品主要包括USG2000、USG5000、USG6000和USG9500四大系列，涵蓋低、中、高端設備，型号齊全功能豐富，完全能夠滿足各種網絡環境的需求。

在學習防護牆之前先要了解關于安全區域的概念，安全區域是一個或多個接口的集合，是防火牆區别于路由器的主要特性。防火牆通過安全區域來劃分網絡、标識報文流動的“路線”，當報文在不同的安全區域之間流動時，才會觸發安全檢查。

華為防火牆默認情況下提供了三個安全區域，分别是Trust、DMZ和Untrust，光從名字看就知道這三個安全區域很有内涵。

• Trust區域，該區域内網絡的受信任程度高，通常用來定義内部用戶所在的網絡。
• DMZ區域²，該區域内網絡的受信任程度中等，通常用來定義内部服務器所在的網絡。
• Untrust區域，該區域代表的是不受信任的網絡，通常用來定義Internet等不安全的網絡。

防火牆有多種部署模式，每個部署模式适用于不同的應用場景。主要的應用場景分為以下幾種：

1、部署透明模式

适用于用戶不希望改變現有網絡規劃和配置的場景。透明模式中，防火牆是“不可見的”，不需配置新的IP地址，隻利用防火牆做安全控制。

2、部署路由模式

适用于需要防火牆提供路由和NAT功能的場景。路由模式中，防火牆連接不同網段的網絡，通常為内部網絡和互聯網，且防火牆的每一個接口都分配IP地址。

3、部署混合模式

如果防火牆在網絡中既有二層接口，又有三層接口，那麼防火牆處于混合模式。

4、部署旁路（Tap）模式

用戶希望試用防火牆的監控、統計、入侵防禦功能，暫時不将防火牆直連在網絡裡，可以選用旁路模式。

由于華為防護牆管理口默認地址是192.168.0.1。由于我這裡使用的模拟器，我需要把地址改成和我物理機地址同一個網段才行。

通過上圖可以看到GE0/0/0是防火牆的管理口。執行如下命令修改IP地址。

[USG6000V1]interface GigabitEthernet 0/0/0 [USG6000V1-GigabitEthernet0/0/0]ip address 192.168.56.12 24 [USG6000V1-GigabitEthernet0/0/0]

然後通過浏覽器訪問https://192.168.56.12:8443。如下圖

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!