华为网络----防火墙理论+NAT策略理论与实验_nat inbound与nat outbound区别

前言：

• 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。
• 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。
• 而NAT 技术是用来解决当今IP地址资源枯竭的一种技术，同时也是IPv4向IPv6的一种过渡

一、防火墙简介

1.1 华为防火墙工作模式

• 华为防火墙有三种工作模式

  ① 路由模式

  • 当防火墙处于内部网路和外部网络中间时，需要将防火墙的内部网络、外部网络、DMZ三个区域分配不同地址段的时候使用
  • 这个时候防火墙首先是台路由器，然后在提供其他的防火墙功能

  ② 透明模式

  • 华为防火墙通过二层和外相连接时候，则防火墙处于透明模式下

  ③ 混合模式

  • 既处于路由接口模式又处于透明模式下，则防火墙是混合模式
  • 目前只用于透明模式下的双机热备的特殊应用中。别的环境不用

1.2 华为防火墙安全区域

• 华为防火墙有五种区域

  ① Local区域：通常定义防火墙本身，优先级为100，防火墙除了转发大的流量外，自己也有收发流量，如控制流量、动态路由协议等，这些报文通常是从Local区域发送的，安全等级最高。

  ② trust区域：主要用于连接公司内部网络，优先级为85，安全等级较高

  ③ DMZ：非军事化区域，优先级为50，是介于军事管事区和公共区域之间的一个区域，安全等级中

  ④ untrust区域：外部区域，优先级为5，安全等级低

  ⑤ 自定义区域：用户自定义区域，默认最多16个区域，默认没有优先级，用户自定义优先级

• 默认情况下，华为防火墙拒绝任何区域之间的流量，如需放行指定流量，需要管理员设置策略

1.3 华为防火墙的inbound和outbound

• inbound：数据由等级低的区域流向等级高的区域，如untrust（优先级5）区域流向trust（优先级85）区域

• outbound：数据由等级高的区域流向等级低的区域，如DMZ(优先级50)区域流向untrust（优先级5）

• 防火墙流量控制是根据优先级来的，规则为：流量从高到低直接放行，从低到高需要设置规则

• 此外，华为防火墙的外网口是不允许ping通的
  

1.4 华为防火墙安全策略

• 传统的防火墙都是基于5元组&#