一、概述

  在通信领域，防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵，通常被应用于网络边界，例如企业互联网出口、企业内部业务边界、数据中心边界等。

  防火墙根据设备形态分为，框式防火墙、盒式防火墙和软件防火墙，支持在云上云下灵活部署。

二、基本概念

• 安全区域

安全区域（Security Zone），简称为区域（Zone），是防火墙的重要概念。防火墙大部分的安全策略都基于安全区域实施。一个安全区域是防火墙若干接口所连网络的集合，一个区域内的用户具有相同的安全属性。

华为防火墙确认已创建四个区域，untrust、dmz、trust和local区域。安全区域有以下特性：

• 默认的安全区域不能删除，也不允许修改安全优先级。
• 每个Zone都必须设置一个安全优先级（Priority），值越大，则Zone的安全优先级越高。

用户可根据自己的需求创建自定义的Zone。

• 安全策略

安全策略是控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。
当防火墙收到流量后，对流量的属性（五元组、用户、时间段等）进行识别，然后与安全策略的条件进行匹配。如果条件匹配，则此流量被执行对应的动作。

• 会话表

会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项，是防火墙转发报文的重要依据。
防火墙采用了基于“状态”的报文控制机制：只对首包或者少量报文进行检测就确定一条连接的状态，大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP和ICMP报文时都需要查询会话表，来判断该报文所属的连接并采取相应的处理措施。

三、基本配置

• 接口

创建接口/进入接口视图

[Huawei] interface interface-type interface-number

（接口视图）配置接口允许通过的协议

[Huawei-GigabitEthernet0/0/1] service-manage { http | https | ping | ssh | snmp | netconf | telnet | all } { permit | deny }

• 安全区域

创建安全区域

[Huawei] firewall zone name zone-name [ id id ]

（安全区域视图）设置安全区域优先级

[Huawei-zone-name] set priority security-priority

（安全区域视图）添加接口到安全区域

[Huawei-zone-name] add interface interface-type { interface-number | interface-number.subinterface-number }

• 安全策略

进入安全策略视图

[Huawei] security-policy

（安全策略视图）创建规则

[Huawei-policy-security] rule name rule-name

（安全策略规则视图）配置安全策略规则的源安全区域

[Huawei-policy-security-rule-name] source-zone { zone-name &<1-6> | any }

（安全策略规则视图）配置安全策略规则的目的安全区域

[Huawei-policy-security-rule-name] destination-zone { zone-name &<1-6> | any }

（安全策略规则视图）配置安全策略规则的源IP地址

[Huawei-policy-security-rule-name] source-address ipv4-address { ipv4-mask-length | mask mask-address}

（安全策略规则视图）配置安全策略规则的目的IP地址

[Huawei-policy-security-rule-name] destination-address ipv4-address { ipv4-mask-length | mask mask-address}

（安全策略规则视图）配置服务

[Huawei] service { service-name &<1-6> | any }

（安全策略规则视图）配置安全策略规则的动作

[Huawei] action { permit | deny }