防火牆是網絡設備中一個很重要的設備，從字面意思理解，用來隔離火災，阻止火勢從一個區域蔓延到另一個區域。引入到通信領域，防火牆主要用於保護一個網絡區域免受來自另一個網絡區域的網絡攻擊和網絡入侵行為。

防火牆的分類

目前防火牆主要分為三種，包過濾、應用代理、狀態監測

包過濾防火牆：現在靜態包過濾防護牆市面上已經看不到了，取而代之的是動態包過濾技術的防火牆。

代理防火牆：因為一些特殊的報文可以輕鬆突破包過濾防火牆的保護，比如SYN攻擊、ICMP洪水攻擊，所以代理服務器作為專門為用戶保密或者突破訪問權限的數據轉發通道應用防火牆出現了。其實用了一種應用協議分析的新技術。

狀態監測防火牆：基於動態包過濾發展而來，加入了一種狀態監測的模塊，近一點發展會話過來功能，會話狀態的保留是有時間限制的。

在國內也出現一些比較好的產品，例如華為的USG系列，深信服等等。華為防火牆產品主要包括USG2000、USG5000、USG6000和USG9500四大系列，涵蓋低、中、高端設備，型號齊全功能豐富，完全能夠滿足各種網絡環境的需求。

安全區域

在學習防護牆之前先要了解關於安全區域的概念，安全區域是一個或多個接口的集合，是防火牆區別於路由器的主要特性。防火牆通過安全區域來劃分網絡、標識報文流動的“路線”，當報文在不同的安全區域之間流動時，才會觸發安全檢查。

華為防火牆默認情況下提供了三個安全區域，分別是Trust、DMZ和Untrust，光從名字看就知道這三個安全區域很有內涵。

• Trust區域，該區域內網絡的受信任程度高，通常用來定義內部用戶所在的網絡。
• DMZ區域²，該區域內網絡的受信任程度中等，通常用來定義內部服務器所在的網絡。
• Untrust區域，該區域代表的是不受信任的網絡，通常用來定義Internet等不安全的網絡。

防火牆的部署方式

防火牆有多種部署模式，每個部署模式適用於不同的應用場景。主要的應用場景分為以下幾種：

1、部署透明模式

適用於用戶不希望改變現有網絡規劃和配置的場景。透明模式中，防火牆是“不可見的”，不需配置新的IP地址，只利用防火牆做安全控制。

2、部署路由模式

適用於需要防火牆提供路由和NAT功能的場景。路由模式中，防火牆連接不同網段的網絡，通常為內部網絡和互聯網，且防火牆的每一個接口都分配IP地址。

3、部署混合模式

如果防火牆在網絡中既有二層接口，又有三層接口，那麼防火牆處於混合模式。

4、部署旁路（Tap）模式

用戶希望試用防火牆的監控、統計、入侵防禦功能，暫時不將防火牆直連在網絡裡，可以選用旁路模式。

華為防火牆Web登錄配置

由於華為防護牆管理口默認地址是192.168.0.1。由於我這裡使用的模擬器，我需要把地址改成和我物理機地址同一個網段才行。

通過上圖可以看到GE0/0/0是防火牆的管理口。執行如下命令修改IP地址。

[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.56.12 24
[USG6000V1-GigabitEthernet0/0/0]

然後通過瀏覽器訪問https://192.168.56.12:8443。如下圖