华三H3C防御系统设备-贵州防御系统设备-北京盈富迈胜公司

华为防火墙的*区域划分

*区域(Security Zone)：简称为区域Zone。防火墙通过区域分*网络和不*网络，在华为防火墙上*网络区域是一个多接口的集合，是防火墙区分于路由器的主要特性。

华为防火墙默认有四个区域，华为防御系统设备，分别是Trust、Untrust、DMZ和local。

不同区域拥有不同的受信任**级，防火墙则根据这些区域的**级来区分区域的保护

Trust区域：主要用于连接公司内部网络，华三H3C防御系统设备，**级为85，*等级较高。

DMZ区域：非jun事化区域，一般公司的web网站和ftp服务器都放在这个区域，其*性介于Trust区域和Untrue区域之间，贵州防御系统设备，**级为50，*级别中等。

Untrust区域：通常定义外部网络，**级5，*等级很低。Untrust区域表示不受信任的区域。

Local区域：通常定义防火墙本身，**级为100.防火墙除了转发区域之间的报文之外，还需要自身接收和发送流量，如网络管理，运行动态路由协议等。

其他区域：用户可以自定义区域，默认zui多定义16个区域，自定义区域没有默认**级，所以需要手动。

华为防火墙*策略

华为防火墙一条规则中，不需要配置所有的条件，可以一个或少数几个条件。如果配置规则的条件为源区域为Trust，目标区域为Untrust，而不配置其他条件，那就意味着其他条件为any，华三H3C防御系统设备，即源区域为Trust，目标区域为Untrust，用户任意、应用任意、服务任意、时间段任意的报文可以匹配该规则

条件中的各个元素如果在多条规则中重复调用，或者该元素本身包含多个相关内容，可以考虑配置为对象，对象可被多条规则调用。

华为防火墙路由模式

路由模式

如果华为防火墙连接网络的接口配置IP地址，则认为防火墙工作在路由模式下，当华为防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置不同网段的IP地址，所以需要重新规划原有网络拓扑，此时防火墙**是一台路由器，然后提供其他防火墙功能。路由模式需要对网络拓扑进行修改（内部网络用户需要更高网关、路由器需要更改路由配置等）。