1、安全区域
一个及或多个接口的集合
默认的安全区域
Trust --- 优先级85,一般连接内网
Untrust --- 优先级5, 一般连接外网
Dmz --- 优先级50,一般连接服务器、
Local --- 优先级100,防火墙接口所在区的区域
2、默认策略
任何流量默认禁止,除了接口下的策略管理协议(6000v)
3、安全级别
每个安全区域都有一个唯一的安全级别,该数字没有实际意义,只有管理意义
范围:1~100
同一设备上,两个安全区域不允许配置相同的安全级别
4、转发原理
【1】包过滤技术(ACL)五元组
【2】安全策略(包过滤)用户、时间段、五元组等
【3】会话表
(记录TCP、UDP、ICMP等协议连接的状态表向,作为防火墙报文的转发依据)
【4】多通道协议
通信过程中需要占用两个或以上端口的协议
典型:FTP(主被动模式)server-map
通过ASPF来解决多通道协议的问题
5、设备管理
设备文件管理
配置文件、系统文件、license
设备登入管理
console登入
web登入
Telnet
SSH
步骤:
1、设置登录接口
2、设置登录协议
①开启服务 ②设置相关内容
3、创建登录用户(aaa)
6、基本配置
【1】配置接口
【2】配置安全区域
【3】配置安全策略
【4】配置DHCP
7、VPN
【1】IPSec VPN
8、双机热备
【1】VGMP
VRRP组管理协议
实现VRRP组角色的一致性
主设备周期性向备设备发送hello报文通告自身的状态
【2】HRP
华为冗余协议
实现双机防火墙之间的配置和状态信息的同步
【3】心跳接口、心跳线
检测对端HRP接口的状态
传输关键配置和会话信息给对端
可以是物理接口,也可以是链路聚合后的接口
独立具有IP的接口
状态:
【4】基本配置
VRRP备份组
HRP