HC110310002-HCNA-Security-CBSN-第二章-防火墙基础技术V2.0

《HC110310002-HCNA-Security-CBSN-第二章-防火墙基础技术V2.0》由会员分享，可在线阅读，更多相关《HC110310002-HCNA-Security-CBSN-第二章-防火墙基础技术V2.0（72页珍藏版）》请在装配图网上搜索。

1、Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 0修订记录课程编码课程编码适用产品适用产品产品版本产品版本课程版本课程版本ISSUEHC110310002华为防火墙V300R001V2.0开发开发/优化者优化者时间时间审核人审核人开发类型（新开发开发类型（新开发/优化）优化）陈灵光2011.7余雷第一版姚传哲2013.5余雷第二版本页不打印Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.第二章 防火墙基础技术Copyright 2

2、013 Huawei Technologies Co.,Ltd.All rights reserved.Page 2目标l学完本课程后，您将能够:p了解防火墙的定义和分类p理解防火墙的主要功能和技术p掌握防火墙设备管理的方法p掌握防火墙的基本配置Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 3目录1.防火墙概述防火墙概述2.防火墙功能特性3.防火墙设备管理4.防火墙基本配置Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page

3、 4防火墙特征l逻辑区域过滤器l隐藏内网网络结构l自身安全保障l主动防御攻击内网防火墙防火墙被入侵路由器路由器Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 5防火墙分类l按照形态分为p硬件防火墙p软件防火墙l按照保护对象分为p单机防火墙p网络防火墙l按照访问控制方式分为p包过滤防火墙p代理防火墙p状态检测防火墙Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 6防火墙分类 包过滤防火墙数据链路层TCP层IP层TCP层IP

4、层只检测报头只检测报头1.无法关联数据包之间关系2.无法适应多通道协议3.通常不检查应用层数据数据链路层Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 7防火墙分类 代理防火墙发送连接请求外网终端代理防火墙内网Server向Server发送报文A对请求进行安全检查，不通过则阻断连接通过检查后与Server建立连接通过检查后与Client建立连接向防火墙发送报文A向防火墙发送回应报文B向终端发送回应报文B1.处理速度慢2.升级困难Copyright 2013 Huawei Technologies Co.,L

5、td.All rights reserved.Page 8防火墙分类 状态检测防火墙Host 10.0.0.1Server 20.0.0.1安全策略检查安全策略检查记录会话信息记录会话信息状态错误，丢弃状态错误，丢弃1.处理后续包速度快2.安全性高Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 9防火墙分类 状态检测防火墙Host 10.0.0.1Server 20.0.0.1安全策略检查安全策略检查记录会话信息记录会话信息状态错误，丢弃状态错误，丢弃1.处理后续包速度快2.安全性高Copyright 20

6、13 Huawei Technologies Co.,Ltd.All rights reserved.Page 10防火墙硬件平台分类nIntel X86Intel X86适用于百兆网络，受CPU处理能力和PCI总线速度的限制nNPNP网络处理器是专门为处理数据包而设计的可编程处理器，是X86与ASIC之间的折衷方案防防 火火 墙墙 硬硬 件件 平平 台台n多核多核新一代的硬件平台。多核方案，更高的集成度、更高效的核间通信和管理机制。nASICASIC硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能Copyright 2013 Huawei Technologies

7、 Co.,Ltd.All rights reserved.Page 11防火墙硬件平台分类nIntel X86Intel X86适用于百兆网络，受CPU处理能力和PCI总线速度的限制nNPNP网络处理器是专门为处理数据包而设计的可编程处理器，是X86与ASIC之间的折衷方案防防 火火 墙墙 硬硬 件件 平平 台台n多核多核新一代的硬件平台。多核方案，更高的集成度、更高效的核间通信和管理机制。nASICASIC硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能Copyright 2013 Huawei Technologies Co.,Ltd.All rights re

8、served.Page 12防火墙组网方式二层以太网接口l组网特点p 对网络拓扑透明p不需要更改组网InternetTrustUntrust192.168.10.1/30192.168.10.2/30Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 13防火墙组网方式三层以太网接口l组网特点p支持更多安全特性p对网络拓扑有所影响InternetUntrustTrust192.168.10.1/30192.168.10.5/30192.168.10.129/30192.168.10.133/30Copyrigh

9、t 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 14l安全区域（Security Zone），或者简称为区域（Zone）。pZone是本地逻辑安全区域的概念。pZone是一个或多个接口所连接的网络网络。什么是安全区域？InternetInternetDMZDMZ区域区域TrustTrust区域区域UntrustUntrust区域区域Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 15防火墙安全区域分类l缺省安全区域p 非受信区域Untr

10、ustp 非军事化区域DMZp 受信区域Trustp 本地区域Locall用户自定义安全区域pUser Zone 1pUser Zone 2企业内网企业内网财务服务器ERP数据服务器OA服务器用户终端ISP BISP BISP AISP A邮件服务器Web服务器UntrustDMZTrustTrustCopyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 16防火墙安全区域与接口关系l安全区域与接口关系p防火墙是否存在两个具有完全相同安全级别的安全区域？p防火墙是否允许同一物理接口分属于两个不同的安全区域？p防火墙

11、的不同接口是否可以属于同一个安全区域？InternetInternetG0/0/2G0/0/2DMZDMZ区域区域G0/0/3G0/0/3UntrustUntrust区域区域 G0/0/0 G0/0/0TrustTrust区域区域G0/0/1G0/0/1TrustTrust区域区域Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 17防火墙安全区域的方向lInbound与Outbound定义p 什么是Inbound?p 什么是Outbound？高安全级别低安全级别企业内网Untrust 区域InternetT

12、rust区域OutboundInboundCopyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 18目录1.防火墙概述2.防火墙功能特性防火墙功能特性3.防火墙设备管理4.防火墙基本配置Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 19防火墙多业务功能WLAN/WWAN交换统一管理UTM安全路由 SNMPv2v3 RMON TR069 Telnet/SSL/HTTP(s)FTP/TFTP SYSLOG 静态路由 策略路由 R

13、IPv2 OSPFv2 BGPv4 FE,GE VLAN Trunk,802.1ad ACL NAT VPN:L2TP/GRE/IPSec/SSL/MPLS P2P/IM AV IPS 反垃圾邮件 URL过滤 WiFi 802.11bg PPP PPPoE ADSL2+HDLC 3GUTMUTMCopyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 20防火墙主要功能 访问控制主机A服务器数据载荷数据载荷识别报头标识，给出执行措施访问控制操作策略策略访问控制Copyright 2013 Huawei Technol

14、ogies Co.,Ltd.All rights reserved.Page 21防火墙基本功能深度检测技术l基于特征字的识别技术l基于应用层网关识别技术l基于行为模式识别技术Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 22SACG联动技术VPN 访问分支机构SRSSRS SPSSPSSACG防病毒服务器域管理服务器安全管理员安全管理员 补丁服务器AgentAgentAgentAgent安全审计员安全审计员 认证前域Agent认证后域SMSCUCL：帐号ACLlAgent：客户端代理lSACG：安全接入

15、控制网关lSM:管理服务器lSC:控制服务器Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 23双机热备技术l提供冗余备份功能l统一设备上所有接口的主备状态l同步防火墙之间会话信息即配置信息备防火墙TRUST域UNTRUST域PC服务器主防火墙内部网络10.110.1.0/24外部网络202.10.0.0/24Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 24IP Link技术lIP-Link自动侦测的侦测结果可以被其

16、他特性所引用，主要应用包括：p 应用在静态路由中p 应用在双机热备份中运营商AX运营商BCopyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 25接收报文分类与标记拥塞监管 拥塞管理带宽保证端到端的流量控制端到端的流量控制提供业务质量保障提高客户服务满意程度保证资源利用最大化，全面提升服务质量QoS技术Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 26企业内网企业内网企业内网用户企业内网用户外部网络外部网络日志服务器日志服务

17、器防火墙日志审计l配合eLog日志软件，可以为用户提供清晰网络日志和访问记录。可收集网络中所有通过该设备的日志通过二进志日志格式实现高速日志流传输Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 27攻击防范l网络攻击主要分为四大类：p流量型攻击p扫描窥探攻击p畸形报文攻击p特殊报文攻击Packets受害主机AttackerCopyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 28防火墙报文统计l报文统计p对于防火墙来说，不仅要

18、对数据流量进行监控，还要对内外部网络之间的连接发起情况进行检测，因此要进行大量的统计、计算与分析。l防火墙对报文统计结果的分析有如下两个方面：p专门的分析软件事后分析日志信息。p防火墙实时完成一部分分析功能。Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 29防火墙黑名单l黑名单p黑名单是一个IP地址列表。防火墙将检查报文源地址，如果命中,丢弃所有报文p快速有效地屏蔽特定IP地址的用户。l创建黑名单表项，有如下两种方式：p通过命令行手工创建。p通过防火墙攻击防范模块或IDS模块动态创建。来自192.168.

19、1.1的报文查找黑名单丢弃192.168.1.1192.168.1.2192.168.1.3Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 30负载均衡l负载均衡。p将访问同一个IP地址的用户流量分配到不同的服务器上。l负载均衡采用以下技术，将用户流量分配到多台服务器：p虚服务技术p服务器健康性检测p基于流的转发即通过指定算法，将数据流发送到各个真实服务器进行处理。Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 31应用

20、控制lDPI（Deep Packet Inspection），即深度报文检测技术。使用DPI知识库中的规则，对P2P、VoIP、Video等多种应用数据，可以对识别的网络流量进行允许通过、阻断、限制连接数和限速等控制动作。带宽管理P2P UploadP2P DownloadVoIPWeb TVVideo Conferencingftpemail Visible pipeCopyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 32防火墙性能指标 吞吐量l吞吐量：防火墙能同时处理的最大数据量l有效吞吐量：除掉TCP因为

21、丢包和超时重发的数据,实际的每秒传输有效速率Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 33防火墙性能指标 时延l定义：数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标，是用于测量防火墙处理数据的速度理想的情况时间间隔Smartbits 6000B第一个比特进入最后一个比特输出Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 34防火墙性能指标 每秒新建连接数l定义：指每秒钟可以通过防火墙建立起来的完

22、整TCP连接该指标是用来衡量防火墙数据流的实时处理能力Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 35防火墙性能指标 并发连接数l定义：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。该参数是用来衡量主机和服务器间能同时建立的最大连接数并发连接并发连接Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 36目录1.防火墙概述2.防火墙功能特性

23、3.防火墙设备管理防火墙设备管理4.防火墙基本配置Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 37防火墙设备管理概述l设备登录管理 pConsole登录pWeb登录ptelnet登录pSSH登录l设备文件管理p配置文件管理p系统文件管理（软件升级）pLicense管理 Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 38设备登录管理l设备登录管理组网-Consolel设备登录管理组网-Web/SSH/Telnetp直

24、接相连（通过局域网）p远程连接（通过广域网）Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 39通过Console口登录设备l USG配置口登录的缺省用户名为admin，缺省用户密码为Admin123。其中，用户名不区分大小写，密码要区分大小写。Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 40通过Web方式登录设备l设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。p将管理员PC的网络连接

25、的IP地址获取方式设置为“自动获取IP地址”。p将PC的以太网口与设备的缺省管理接口直接相连，或者通过交换机中转相连。p在PC的浏览器中访问http:/192.168.0.1，进入Web界面的登录页面。p缺省用户名为admin，密码为Admin123Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 41Web登录配置管理l配置USG的IP地址。(略）l配置USG接口Web设备管理。USG-GigabitEthernet0/0/1 service-manage enableUSG-GigabitEthernet

26、0/0/1 service-manage http permitl启动Web管理功能。USG web-manager security enable port 2000l配置Web用户。USG aaaUSG-aaa local-user webuser password cipher Admin123 USG-aaa local-user webuser service-type webUSG-aaa local-user webuser level 3Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 42W

27、eb登录配置管理l配置Web管理员，并启动Web管理功能，根据客户需求启动HTTP或者HTTPS管理，以及设置端口号。新建管理员和管理员级别。Note：不需要设置Web，FTP，Telnet等类别。默认支持所有用户类别。Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 43通过Telnet方式登录设备l设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。p将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。p通过Putty telnet192.168.0.1，进

28、入登录页面。p缺省用户名为admin，密码为Admin123Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 44Telnet登录配置管理l配置USG接口telnet设备管理。USG-GigabitEthernet0/0/1 service-manage enableUSG-GigabitEthernet0/0/1 service-manage telnet permitl配置vty interface。USG user-interface vty 0 4USG-ui-vty0-4 authenticatio

29、n-mode aaa USG-ui-vty0-4 protocol inbound telnet l配置Telnet用户信息。USG aaaUSG-aaa local-user user1 password cipher password123 USG-aaa local-user user1 service-type telnet USG-aaa local-user user1 level 3Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 45Telnet登录配置管理l配置Telnet管理员新建管理员和

30、管理员级别。Note：不需要设置Web，FTP，Telnet等类别。默认支持所有用户类别。Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 46l配置USG的接口IP地址。(略）l配置USG接口telnet设备管理。USG-GigabitEthernet0/0/1 service-manage enableUSG-GigabitEthernet0/0/1 service-manage telnet permitl配置RSA本地密钥对。system-view USG rsa local-key-pair cre

31、ate It will take a few minutes.Input the bits in the modulusdefault=512:512 Generating keys.+.l 配置VTY用户界面。USG user-interface vty 0 4 USG-ui-vty0-4 authentication-mode aaaUSG-ui-vty0-4 protocol inbound ssh通过SSH方式登录设备(1)Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 47通过SSH方式登录设备(

32、2)l新建用户名为Client001的SSH用户，且认证方式为password。USG ssh user client001USG ssh user client001 authentication-type password l为SSH用户Client001配置密码为Admin123。USG aaaUSG-aaa local-user client001 password cipher Admin123USG-aaa local-user client001 service-type sshl配置SSH用户Client001的服务方式为STelnet，并启用STelnet服务。USG ssh

33、 user client001 service-type stelnetUSG stelnet server enable 以上配置完成后，运行支持SSH的客户端软件，建立SSH连接。Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 48配置文件管理l配置文件类型psaved-configurationpcurrent-configurationl配置文件操作p保存配置文件p擦除配置文件（恢复出厂配置）p配置下次启动时的系统软件和配置文件p重启设备Copyright 2013 Huawei Technolog

34、ies Co.,Ltd.All rights reserved.Page 49配置文件管理l配置文件类型psaved-configurationpcurrent-configurationl配置文件操作p保存配置文件p擦除配置文件（恢复出厂配置）p配置下次启动时的系统软件和配置文件p重启设备Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 50版本升级(命令行)l使用TFTP下载文件p执行命令tftp tftp-server-address or hostname get source-filename de

35、stination-filename l使用FTP下载文件p执行命令ftp ip-address port-number vpn-instance vpn-instance-name，与FTP服务器建立控制连接，并进入FTP客户端视图。注：以上两种下载文件的方式二选一即可l配置系统下次启动时使用的系统软件p执行startup system-software sys-filename。Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 51版本升级（Web）说明：如果在升级过程中空然断电，那么系统将无法启动l一键

36、式升级Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 52License配置lLicense是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式，License可以动态控制产品的某些特性是否可用。l激活Licensep执行命令system-view，进入系统视图。p执行命令license file license-file，激活指定的License文件。p可以通过命令display license，查看License的信息。点击此处，上传将要激活的License文件Copyright 2013 H

37、uawei Technologies Co.,Ltd.All rights reserved.Page 53目录1.防火墙概述2.防火墙功能特性3.防火墙设备管理4.防火墙基本配置防火墙基本配置Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 54VRP命令行级别参观级网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH、Rlogin）等，该级别命令不允许进行配置文件保存的操作。监控级用于系统维护、业务故障诊断等，包括display、debugging

38、命令，该级别命令不允许进行配置文件保存的操作。配置级业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。管理级关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 55VRP命令视图l系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令。l命令视图的分类：p用户视图 n p系统视图 nUSG p接口视图 nUSG-Ethernet0/0/1 p协议视图

39、 nUSG-rippCopyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 56VRP在线帮助l键入一命令，后接以空格分隔的“?”，如果该位置为关键字，则列出全部关键字及其简单描述。display?l键入一命令，后接以空格分隔的“?”，如果该位置为参数，则列出有关的参数描述。USG 5000 interface ethernet?Slot number l键入一字符串，其后紧接“?”，列出以该字符串开头的所有命令。d?debugging delete dir displayCopyright 2013 Huawei

40、 Technologies Co.,Ltd.All rights reserved.Page 57VRP在线帮助（续）l输入命令的某个关键字的前几个字母，按下键，可以显示出完整的关键字l暂停显示时键入 停止显示和命令执行l暂停显示时键入空格键 继续显示下一屏信息l暂停显示时键入回车键 继续显示下一行信息Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 58防火墙基本配置流程开始以太网接口模式接口IP地址接口加入域自定义安全区域默认安全区域配置默认包过滤规则配置路由（三层接口）配置设备管理数据包转发数据包转发二

41、层接口模式三层接口模式Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 59配置接口模式步骤步骤 1 进入系统视图。system-view步骤步骤 2 进入接口视图进入接口视图USGinterface interface-type interface-number步骤步骤 3 配置三层以太网接口或者二层以太网接口配置三层以太网接口ip address ip-address mask|mask-length，。或或配置二层以太网接口 portswitchCopyright 2013 Huawei Technol

42、ogies Co.,Ltd.All rights reserved.Page 60步骤步骤 1 执行命令system-view，进入系统视图。步骤步骤 2 执行命令firewall zone vpn-instance vpn-instance-name name zone-name，创建安全区域，并进入相应安全区域视图。步骤步骤 3 执行命令set priority security-priority，配置安全区域的安全级别。配置安全区域安全区域已经存在不必配置关键字name，直接进入安全区域视图安全区域不存在需要配置关键字name，进入安全区域视图Copyright 2013 Huawei

43、Technologies Co.,Ltd.All rights reserved.Page 61将接口加入安全区域 步骤步骤 1 执行命令system-view，进入系统视图。步骤步骤 2 执行命令firewall zone vpn-instance vpn-instance-name name zone-name，创建安全区域，并进入相应安全区域视图。步骤步骤 3 执行命令add interface interface-type interface-number，配置接口加入安全区域。Copyright 2013 Huawei Technologies Co.,Ltd.All rights

44、reserved.Page 62配置域间缺省包过滤规则 步骤步骤 1 执行命令system-view，进入系统视图。步骤步骤 2 执行命令firewall packet-filter default permit|deny all|interzone zone1 zone2 direction inbound|outbound ，配置域间缺省包过滤规则。zone1与zone2有先后顺序吗？没有先后顺序。因为Inbound和Outbound的方向只与域的优先级有关Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page

45、 63配置路由 l配置静态路由，需要进行如下操作。步骤步骤 1 执行命令system-view，进入系统视图。步骤步骤 2 执行命令ip route-static ip-address mask|mask-length interface-type interface-number|next-ip-address preference value reject|blackhole 增加一条静态路由l配置缺省路由，需要进行如下操作。步骤步骤 1 执行命令system-view，进入系统视图。步骤步骤 2 执行命令ip route-static 0.0.0.0 0.0.0.0|0 interfac

46、e-type interface-number|next-ip-address preference value reject|blackhole，配置缺省路由。Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 64步骤步骤 1 选择 网络 接口，选择对应接口的编辑。步骤步骤 2 配置接口IP地址，切换接口模式配置接口模式通过切换接口模式。路由：三层接口交换：二层接口：根据组网规划，选择相应的接口配置IP地址，子网掩码默认网关的作用？Copyright 2013 Huawei Technologies Co.

47、,Ltd.All rights reserved.Page 65将接口加入安全区域（1）步骤步骤 1 选择网络 接口 接口。步骤步骤 2 选择新建区域或者默认区域步骤步骤 3 如果新建区域，如果新建区域，配置区域名称和安全级别。不允许新建区域安全级别和和默认安全区域安全级别相同。为什么？Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 66将接口加入安全区域（2）步骤步骤 4 将接口加入安全区域将接口通过“添加”按钮，添加到域中。如果你想添加的接口，未出现在未加入域的接口列表中，是什么原因？如何解决。Copy

48、right 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 67配置域间缺省包过滤规则 根据组网需要修改默认包过滤规则动作。l步骤步骤 选择 防火墙 安全策略 转发策略，选择对应的域间编辑按钮。Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 68配置路由 配置默认路由的下一跳IP地址l步骤步骤 选择 路由 静态 静态路由，新建静态路由。Copyright 2013 Huawei Technologies Co.,Ltd.All rights

49、 reserved.Page 69总结l防火墙的定义和分类l防火墙的主要功能和技术l防火墙设备管理l防火墙的基本配置Copyright 2013 Huawei Technologies Co.,Ltd.All rights reserved.Page 70思考题l状态检测防火墙与包过滤防火墙有哪些不同？l安全区域与接口之间有哪些关系？lInbound和Outbound在域间包过滤策略中有何不同？l可靠性技术IP LINK与静态路由和双机热备整合后，有哪些优势？Thank Copyright2013 Huawei Technologies Co.,Ltd.All Rights Reserved.

50、The information in this document may contain predictive statements including,without limitation,statements regarding the future financial and operating results,future product portfolio,new technology,etc.There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements.Therefore,such information is provided for reference purpose only and constitutes neither an offer nor an acceptance.Huawei may change the information at any time without notice.