防火墙控制

带：可以理解为网络

        

带内管理： telnet 、 SSH 、 web ---- 网线直接连接设备进行管理

        

带外管理：通过 console

前置配置

        

默认账号： admin 默认密码： Admin@123

        

新密码 ---admin@123

进入旁挂检测接口：

[FW-GigabitEthernet1/0/1]portswitch --- 先修改为二层模式

[FW-GigabitEthernet1/0/1]detect-mode tap --- 在设置旁路检测机制

 接口对

对应命令行：

1 、将接口模式调整为二层接口，并且为接口对模式

[FW-GigabitEthernet1/0/0]portswitch

[FW-GigabitEthernet1/0/0]detect-mode inline

                

[FW-GigabitEthernet1/0/1]portswitch

[FW-GigabitEthernet1/0/1]detect-mode inline

2 、创建接口对

[FW]pair-interface name aaa --- 创建接口对

[FW-pair-interface-aaa]pair GigabitEthernet 1/0/0 GigabitEthernet 1/0/1

 其他接口的web页面操作：

防火墙安全区域：划地而治 等级森严

在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为 “ 可信任的 ” ，它们之间的通信时 不受防火墙的干涉的 。 而各个被防火墙分割的网络之间，必须按照防火墙规定的 “ 策略 ” 进行访问 。

安全区域：由一个或多个接口组成的集合，是防火墙区别于路由器的主要特性 。

默认情况下，报文在不同的安全区域之间流动时，才会触发安全检查。在同一个安全区域中流动 时，不会触发安全检查 。但是，华为设备也支持对通区域流动的流量进行检查。

防火墙默认存在的安全区域

报文在安全区域之间的流动方向

 

• 路由模式---依靠路由表来确定报文的转发接口，从而该接口的安全区域属于目的安全区域。
• 交换模式---依靠MAC地址表来确定报文的转发接口，从而该接口的安全区域属于目的安全区域。

不同模式安全区域流向

路由模式---防火墙接口采用三层接口

交换模式---防火墙接口处于二层接口（透明模式）

旁路检测模式 

 

 混合模式

暂时无

 安全区域配置

命令：

[FW]firewall zone name test --- 创建安全区域（区域名字text自定义）

[FW-zone-test]set priority 30 --- 设置优先级

[FW-zone-test]add interface GigabitEthernet 1/0/6 --- 将某个接口加入到该安全区域

[FW]display zone --- 查看安全区域命令

web页面：