為幫助考生備考軟考網(wǎng)絡(luò)工程師考試，希賽小編為大家整理了2022下半年網(wǎng)絡(luò)工程師知識(shí)點(diǎn)：防火墻技術(shù)，相信對(duì)大家備考會(huì)有幫助。

華為防火墻默認(rèn)分為4個(gè)安全區(qū)域：

（1）Trust區(qū)域：本區(qū)域內(nèi)的網(wǎng)絡(luò)受信程度高，通常用來(lái)定義內(nèi)部用戶所在的網(wǎng)絡(luò)。

（2）DMZ區(qū)域：本區(qū)域內(nèi)的網(wǎng)絡(luò)受信程度中等，通常用來(lái)定義公共服務(wù)器所在的區(qū)域。

（3）Untrust區(qū)域：本區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來(lái)定義Internet等不安全的網(wǎng)絡(luò)。

（4）LOCAL區(qū)域，防火墻自身所在的區(qū)域

在華為防火墻中，每個(gè)安全區(qū)域都有一個(gè)安全級(jí)別，用1-100表示，數(shù)字越大，代表這個(gè)區(qū)域越可信。默認(rèn)情況下，LOCAL區(qū)域安全級(jí)別100、Trust區(qū)域?yàn)?5，DMZ為50，Untrust區(qū)域?yàn)?。

安全域間的數(shù)據(jù)流動(dòng)具有方向性，包括入方向(Inbound)和出方向(Outbound)。

入方向：數(shù)據(jù)由低優(yōu)先級(jí)的安全區(qū)域向高優(yōu)先級(jí)的安全區(qū)域傳輸。

出方向：數(shù)據(jù)由高優(yōu)先級(jí)的安全區(qū)域向低優(yōu)先級(jí)的安全區(qū)域傳輸。

防火墻能夠工作在三種模式下：路由模式、透明模式、混合模式。注意三種模式的區(qū)別。

防火墻的分類：

包過(guò)濾防火墻的工作是通過(guò)查看數(shù)據(jù)包的源地址、目的地址或端口來(lái)實(shí)現(xiàn)的，由于防火墻只是工作在OSI的第三層（網(wǎng)絡(luò)層）和第四層（傳輸層），因此包過(guò)濾的防火墻的一個(gè)非常明顯的優(yōu)勢(shì)就是速度，缺點(diǎn)由于無(wú)法對(duì)數(shù)據(jù)報(bào)的內(nèi)容進(jìn)行核查，一次無(wú)法過(guò)濾或?qū)徍藬?shù)據(jù)報(bào)的內(nèi)容。

應(yīng)用型代理防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品

動(dòng)態(tài)包過(guò)濾防火墻。對(duì)于新建立的應(yīng)用連接，狀態(tài)檢測(cè)型防火墻先檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)；記錄下該連接的相關(guān)信息，生成狀態(tài)表；對(duì)該連接的后續(xù)數(shù)據(jù)包，只要是符合狀態(tài)表，就可以通過(guò)，更加靈活。

大型的網(wǎng)絡(luò)放一個(gè)路由器到防火墻前面主要是路由器的接口豐富，適合廣域網(wǎng)的多種不同類型的接口鏈路，而防火墻接口單一。但具體做題的時(shí)候，要根據(jù)設(shè)備的接口去看。關(guān)鍵是看DMZ這個(gè)接口。