华为防火墙的安全区域划分

安全区域(Security Zone)：简称为区域Zone。防火墙通过区域分安全网络和不安全网络，在华为防火墙上安全网络区域是一个多接口的集合，是防火墙区分于路由器的主要特性。

华为防火墙默认有四个区域，分别是Trust、Untrust、DMZ和local。

不同区域拥有不同的受信任优先级，防火墙则根据这些区域的优先级来区分区域的保护

Trust区域：主要用于连接公司内部网络，优先级为85，安全等级较高。

DMZ区域：非jun事化区域，一般公司的web网站和ftp服务器都放在这个区域，其安全性介于Trust区域和Untrue区域之间，优先级为50，安全级别中等。

Untrust区域：通常定义外部网络，优先级5，安全等级很低。Untrust区域表示不受信任的区域。

Local区域：通常定义防火墙本身，优先级为100.防火墙除了转发区域之间的报文之外，还需要自身接收和发送流量，如网络管理，运行动态路由协议等。

其他区域：用户可以自定义区域，默认zui多定义16个区域，自定义区域没有默认优先级，所以需要手动。

华为防火墙的网络安全

监控网络存取和访问

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生嫌疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，登录时间和使用shell类型等。但是Finger显示的信息非常容易让攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

华为防火墙透明模式

透明模式

如果华为防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下。如果华为防火墙采用透明模式进行工作，只需要在网络中像连接交换机一样连接华为防火墙设备即可，其比较大的优点是无须修改任何已有的IP配置；此时防火墙就像一个交换机一样工作，内部网络和外部网络必须处于同一个子网。此模式下，报文在防火墙当中不仅进行二层的交换，还会对报文进行高层分析处理。