华为防火墙与路由器的对比实验

0420网络安全设备配置与管理第八周授课讲义
温故知新：上次课主要介绍华为防火墙USG6000V，登录设备，基础配置的实验。学习防火墙的工作原理和配置步骤。（该部分内容是本课程的重点）【防火墙FW是什么？防火墙与路由器的区别有那些？配置步骤和思路有何不同？】
Q:防火墙FW是什么？
A：是一个安全设备用于网络隔离。
Q：防火墙与路由器的区别有那些？
A：相同点：都是网络连接设备，FW和路由器都用于连接不同网段/网络；两种设备的路由表中都有连接的网络/网段的表项且为直连。
不同点：路由器上只要配置了网关（对应的终端设备的接口）默认是允许通信的，为了实现任务要求需要配合ACL进行流量控制。（因为路由表中有不同网段的表项且为直连路由。）需要配置ACL且动作为拒绝。
防火墙的接口（与终端设备所连的接口需要先添加到对应的安全区域中，配置网关地址是为了通信用【但不代表就能直接通信】，默认拒绝所有通信流量经过防火墙，为了实现任务要求需要配置安全策略-规则-动作（允许）。
-----------------------通过实验进行验证--------------
用路由器进行实验：路由器+ACL实现流量管理

配置步骤：
1.完成基础配置

un t m
sys
sys R1
int g 0/0/0
ip ad 192.168.1.1 24
int g 0/0/1
ip ad 172.16.1.1 24
int g 0/0/2
ip ad 100.1.1.1 24
Q
测试网络连通性（全网都是通的）

路由器默认允许表中有表项的终端之间都能通信

但是又不符合实验要求，所以需要通过ACL进行流量控制
2.配置ACL （选择ACL的类型；配置规则【拒绝】；应用规则到指定接口上）

接口的选择要进行仔细判断；（采用就近原则）

测试网络连通性：

实验成功
财务部PC4当前能访问server3

再配一个ACL ，用于限制流量

测试实验效果：

实验完成
--------------------------2.防火墙+安全策略，实现流量管理-----------------------------
实验解析：3个区域，四种终端，五个设备
实验思路：用防火墙进行网络隔离，用安全策略实现通信流量管控
实验步骤：
1.完成基本配置（略）
2.配置防火墙
2.1配置安全区域添加端口

测试网络连通性

2.2 配置安全策略
实验要求PC1能够访问DMZ区的server1

测试实验效果

测试实验效果
--------------------防火墙+安全策略2（域内拒绝）--------------------------------

实验思路（防火墙默认域内是可以直接通信）
正常的方式（单向拒绝策略+规则）；如果此种方式失效就需要做双向阻隔。
1.完成基本配置（略）
2.配置防火墙（配置安全区域+配置网关）（略）
测试域内的通信（没有配规则时候同一域内可以通信）

3.要实现同一域内（trust）PC1和PC2不能通信

测试实验效果

实验任务2 （PC1访问server1）

测试实验效果

总结：防火墙默认域内是可以直接通信的。如果实验要求不能通信就需要重新配置规则。