防火墙是一种网络安全设备，通常位于网络边界，用于隔离不同安全级别的网络，保护一个网络免受来自另一个网络的攻击和入侵。

　　安全区域的设计理念可以减少网络攻击面，一旦划分安全区域，流量就无法在安全区域之间流动，除非管理员指定了合法的访问规则。

　　如果网络被入侵，攻击者也只能访问同一个安全区域内的资源，这就把损失控制在一个比较小的范围内。因此建议通过安全区域为网络精细化分区。

　　防火墙的安全区域按照安全级别的不同从 1 到 100 划分安全级别，数字越大表示安全级别越高。

　　防火墙缺省存在 trust、dmz、untrust 和 local 四个安全区域，管理员还可以自定义安全区域实现更细粒度的控制。

　　例如，一个企业按图 1-3 划分防火墙的安全区域，内网接口加入 trust 安全区域，外网接口加入 untrust 安全区域，服务器区接口加入 dmz 安全区域，另外为访客区自定义名称为 guest 的安全区域。

　　local 代表防火墙本身，local区域中不能添加任何接口，但防火墙上所有接口本身都隐含属于 local 区域。

　　凡是由防火墙主动发出的报文均可认为是从 local 安全区域发出，凡是接收方是防火墙的报文（非转发报文）均可认为是由 local 安全区域接收。

　　另外除了物理接口，防火墙还支持逻辑接口，如子接口、VLANIF、Tunnel 接口等，这些逻辑接口在使用时也需要加入安全区域。

　　如图 1-4 所示，安全策略由匹配条件、动作和内容安全配置文件组成，针对允许通过的流量可以进一步做反病毒、入侵防御等内容安全检测。

　　所有匹配条件在一条安全策略中都是可选配置；但是一旦配置了，就必须全部符合才认为匹配，即这些匹配条件之间是“与”的关系。

　　一个匹配条件中如果配置了多个值，多个值之间是“或”的关系，只要流量匹配了其中任意一个值，就认为匹配了这个条件。

　　你可以只使用五元组（源/目的 IP 地址、端口、协议）作为匹配条件，也可以利用防火墙的应用识别、用户识别能力，更精确、更方便地配置安全策略。

　　如图 1-5所示，内网 PC 既需要 Telnet 登录防火墙管理设备，又要通过防火墙访问 Internet。

　　以上例子中，位于 trust域的 PC 登录防火墙，配置 trust 访问 local 的安全策略；

　　反之如果防火墙主动访问其他安全区域的对象，例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等，需要配置 local 到其他安全区域的安全策略。

　　记住一点，防火墙本身是 local 安全区域，接口加入的安全区域代表接口连接的网络属于此安全区域，这样就可以分清防火墙本身和外界网络的域间关系了。

　　用户创建的安全策略，按照创建顺序从上往下排列，新创建的安全策略默认位于策略列表底部，缺省策略之前。

　　由此可见，安全策略列表的顺序是影响策略是否按预期匹配的关键，新建安全策略后往往需要手动调整顺序。

　　企业的一台服务器地址为 10.1.1.1，允许 IP 网段为 10.2.1.0/24 的办公区访问此服务器，配置了安全策略 policy1。

　　运行一段时间后，又要求禁止两台临时办公 PC（10.2.1.1、10.2.1.2）访问服务器。

　　因此，配置安全策略时，注意先精确后宽泛。如果新增安全策略，注意和已有安全策略的顺序，如果不符合预期需要调整。

　　如果使用命令行配置，首次登录请使用 Console 配置线连接管理 PC 的串口与设备的 Console 口。

　　4. 如果是首次登录设备，弹出创建管理员账号界面。输入用户名、密码、确认密码，然后单击“创建”。

　　可以在此界面上单击“下载根证书”下载证书，然后双击证书文件进安装，下次登录就没有安全告警提示了。

　　7. 新账号首次登录，系统弹出修改初始化密码界面。输入当前密码、新密码、确认密码，单击“确定”。

　　选择“系统 管理员 管理员”，可以新建其他管理员。防火墙支持管理员绑定不同的权限角色。

　　防火墙缺省工作在三层，通常作为企业 Internet 出口网关，实现内外网通信的同时进行安全防护。

　　防火墙三层接入部署在内外网之间时，通常还需要负责内网的私网地址与外网的公网地址之间的转换，也就是 NAT 功能，因此这种接入方式又常被称为“NAT 模式”。

　　加入 trust 区域，私网 IP 地址配置完毕；如果管理员在向导中启用了局域网DHCP 服务，则局域网接口开启 DHCP 服务器功能为局域网 PC 分配 IP 地址及 DNS 服务器地址。

　　存在一条 Easy IP 方式的源 NAT 策略，出接口是上网接口的所有流量的源 IP 地址

　　2. 单击“下一步”。3. 根据需要修改主机名、管理员密码，然后单击“下一步”。如果无需修改，单击“跳过”。

　　2. 单击“下一步”。3. 根据需要修改主机名、管理员密码，然后单击“下一步”。如果无需修改，单击“跳过”。

　　2. 单击“下一步”。3. 根据需要修改主机名、管理员密码，然后单击“下一步”。如果无需修改，单击“跳过”。

　　此种接入方式的优点是不影响原有网络结构，不需要调整上下行设备路由，因此也称为“透明模式”。二层透明接入防火墙同样具备安全防护能力，也需要配置安全策略，只是部分三层特有的功能二层接口不支持，例如路由。

　　a. 选择“网络 接口”。b. 配置 GE0/0/2 的接口为交换模式，并将接口加入安全区域。

　　如果防火墙接口是 Trunk 类型转发 VLAN，则需要在路由器上配置子接口终结 VLAN。

　　如果需要使用业务口登录防火墙，或者防火墙需要访问外部地址，均需要配置 VLANIF 接口 IP 地址。本例中是 VLANIF10，配置如下，注意 VLANIF10 的 IP 地址需要与防火墙上下行设备 IP地址同一网段。

　　配置三层接入、配置二层透明接入中完成了内网 PC 访问 Internet 的基础网络部署，防火墙本身进行特征库升级、License 在线激活等需要防火墙可以访问 Internet 的外部服务。

　　三层接入一般使用公网接口 IP 地址即可；二层透明接入则需要配置一个 VLANIF 接口，配置接口 IP 并加入安全区域，具体步骤参见二层透明接入后续处理。另外注意确保该地址到 Internet 路由可达。

　　选择“网络 DNS DNS”,检查是否已经配置了 DNS 服务器，如果没有配置请增加 DNS服务器。

　　放行的服务等根据业务需求制定，例如防火墙访问 DNS 服务器要放行 DNS，防火墙升级特征库要放行 HTTPS。

　　测试内网 PC 访问 Internet在内网 PC 浏览器中输入一个网址，测试是否可以打开网页。如果打开网页失败，尝试如下方法排障：

　　如果配置了防火墙为 PC 分配地址，则在 cmd 窗口执行 ipconfig /all 命令检查 PC 是否正常通过防火墙获取 IP 地址和 DNS 服务器，如果 PC 没有获取到地址请检查防火墙的 DHCP 服务配置。

　　根据诊断信息进行故障处理。测试防火墙访问 Internet使用防火墙 Web 界面提供的升级中心（

　　1. 如果需要在缺省安全区域基础上自定义安全区域时，选择“网络 安全区域”，新建安全区域。

　　另外安全策略允许的流量不代表没有威胁，还可以在安全策略中引用内容安全配置文件进行入侵、病毒等检测。这里配置的安全策略用于防火墙的上线运行，确保防火墙可以正常工作后，需要结合日志、业务情况不断调整，使防火墙更好地保护网络安全。

　　2. 配置允许外网用户访问内网的 Web 服务器 10.2.1.5，并引用缺省入侵防御配置文件对流量进行威胁检测。

　　初始配置中，快速向导自动生成了一条将访问 Internet 流量的源 IP 转换为公网接口 IP 的源 NAT 策略。

　　可以直接使用，也可以修改配置。另外当企业有供外网用户访问的服务器时，还需要配置 NAT Server 将服务器私网 IP 地址映射成公网 IP 地址。

　　源 NAT 有两种地址转换方式：地址池方式：如果有多个公网地址可以使用，一般采用地址池方式。此方式需要创建 NAT地址池以限定可使用的公网地址范围。

　　出接口地址方式：如果只有防火墙公网接口上的公网地址可用，一般采用出接口地址方式。此方式内网 PC 直接借用公网接口的 IP 地址访问 Internet，特别适用于公网接口 IP 地址是动态获取不固定的情况。