北京盈富迈胜公司-华三H3C防御系统设备-甘肃防御系统设备

华为防火墙混合模式及区域划分

混合模式

如果华为防火墙存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下。这种工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供双机热备份的特殊应用中，其他环境不太建议使用。

华为防火墙的区域划分

防火墙通过区域区分安全和不安全网络，在华为防火墙上安全区域或是一个或多个接口的集合，是防火墙区分与路由器的主要特性。

华为防火墙默认有4个区域，分别是local，华三H3C防御系统设备，trust、untrust、dmz。

华为防火墙默认有4个区域，华为防御系统设备，分别是local，trust、untrust、dmz。不同的区域拥有不同的受信优先级。防火墙根据这些区域的受信优先级来区分区域的保护级别。安全级别由1~100的阿拉伯数字来表示，数字越大，则代表该区域内的网络越可信。

trust区域：主要用于连接公司的内部网络 默认安全级别为 85。

untrust区域：定义为外部网络，安全级别为5，华为防御系统设备，安全级别很低。untrust区域表示不受信任的区域，甘肃防御系统设备，互连网上威胁较多，所以把internet等不安全网络划入该区域。

Dmz区域：非军人化区域， 在防火墙中通常定义为需要对外提供服务的网络，其安全性介于trust区域和untrust区域之间，安全级别为50

local区域：通常定义防火墙本身安全级别为100

华为防火墙的网络层防火墙

网络层防火墙可视为一种 IP 封包的过滤器（允许或拒绝封包资料通过的软硬结合装置），运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。