华为下一代防火墙公司-江苏下一代防火墙-盈富迈胜科技有限公司

华为防火墙的安全区域划分

安全区域(Security Zone)：简称为区域Zone。防火墙通过区域分安全网络和不安全网络，在华为防火墙上安全网络区域是一个多接口的集合，是防火墙区分于路由器的主要特性。

华为防火墙默认有四个区域，分别是Trust、Untrust、DMZ和local。

不同区域拥有不同的受信任优先级，防火墙则根据这些区域的优先级来区分区域的保护

Trust区域：主要用于连接公司内部网络，华为下一代防火墙公司，优先级为85，安全等级较高。

DMZ区域：非jun事化区域，一般公司的web网站和ftp服务器都放在这个区域，其安全性介于Trust区域和Untrue区域之间，优先级为50，安全级别中等。

Untrust区域：通常定义外部网络，优先级5，安全等级很低。Untrust区域表示不受信任的区域。

Local区域：通常定义防火墙本身，优先级为100.防火墙除了转发区域之间的报文之外，还需要自身接收和发送流量，如网络管理，运行动态路由协议等。

其他区域：用户可以自定义区域，默认zui多定义16个区域，下一代防火墙硬件设备，自定义区域没有默认优先级，所以需要手动。

防火墙inbound和outbound不同区域之间可以设置不同的安全策略，下一代防火墙设备，域间的数据流分两个方向

入方向（Inbound）：数据由低级别的安全区域向更高一层级别的安全区域传输的方向。

出方向（Outbound）：数据由更高一层级别的安全区域向低级别的安全区域传输的方向。

因为防火墙的状态化检测机制，所以针对数据流通常只重点处理首报文，安全策略一旦允许首报文允许通过，那么将会形成一个会话表，后续报文和返回的报文如果匹配到会话表将会直接放行，而不再查看策略，从而提升防火墙的转发效率。如，Trust区域的客户端访问UNtrust区域的互联网，只需要在Trust到UNtrust的Outbound方向应用安全策略即可，不需要做UNtrust到Trust区域的安全策略。

华为防火墙的网络层防火墙

网络层防火墙可视为一种 IP 封包的过滤器（允许或拒绝封包资料通过的软硬结合装置），运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，江苏下一代防火墙，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。