文章目录一、防火墙跟路由器到底有什么区别二、安全域——防火墙上独有的概念2.1 什么是安全域2.2 接口加入安全域三、三要素:流量从A到B的三个必要条件3.1 条件一:路由——防火墙得知道路怎么走3.2 条件二:安全域——接口得在正确的域里3.3 条件三:安全策略——必须有明确的 permit四、完整实战:让内网Trust的PC上网4.1 拓扑4.2 配置三要素4.3 验证五、排障三步法——内网到外网不通,先查这三个第1步:查路由——有没有第2步:查安全域——接口在不在正确的域里第3步:查策略——有没有 permit,命中了没有六、排障案例:防火墙换了之后内网全部断网案例背景故障现象排查过程根因分析经验总结七、总结防火墙是网络设备里最特殊的存在——路由器交换机你配错了最多不通,防火墙配错了可能是该通的没通、该拦的没拦住、甚至把自己关在了外面。聊防火墙的很多,但能把这个逻辑讲通的文章不多。今天开一个防火墙系列,第一篇从最核心的概念讲起——安全域、路由和策略这三样东西是怎么配合让流量从A到B的。一、防火墙跟路由器到底有什么区别路由器的逻辑是:收到一个包 → 查路由表 → 找到下一跳 → 发出去。只要路由通,流量就过。防火墙的逻辑是:收到一个包 → 查路由表 → 查安全策略 → 策略放行才发出去。路由是基础,但策略是最后一道裁决。对比路由器防火墙转发逻辑有路由就转发有路由 + 有放行策略才转发默认行为路由不通才丢没有策略就丢弃(哪怕是直连的)核心概念路由表安全域 + 路由表 + 安全策略状态检测不关心有会话表,匹配到会话直接转发防火墙最核心的差异在于它是状态检测设备——它会记住每一个流量的会话状态,回程流量不需要再配一条策略,防火墙自己能认出来。二、安全域——防火墙上独有的概念2.1 什么是安全域安全域(Security Zone)是防火墙上对接口的逻辑分组。每个接口必须加入一个安全域,不能裸奔。华为防火墙默认有四个安全域:安全域优先级含义典型接什么Trust85受信任区域内网办公区、服务器区Untrust5不受信任区域互联网出口DMZ50中间区域对外提供服务的服务器(Web/邮件)Local100防火墙自己防火墙本身的接口IP优先级不是路由的Preference——它是安全策略默认方向的参考值。从高优先级域到低优先级域(Trust→Untrust)是出方向,反向是入方向。2.2 接口加入安全域# 创建安全域并加入接口[Huawei]firewall zone trust[Huawei-zone-trust]addinterface GigabitEthernet0/0/1# 内网口[Huawei]firewall zone untrust[Huawei-zone-untrust]addinterface GigabitEthernet0/0/2# 外网口[Huawei]firewall zone dmz[Huawei-zone-dmz]addinterface GigabitEthernet0/0/3# DMZ口# 查看接口属于哪个安全域Huaweidisplay firewall zone --- Zone: trust Interface: GigabitEthernet0/0/1 Zone: untrust Interface: GigabitEthernet0/0/2 Zone: dmz Interface: GigabitEthernet0/0/3一个接口只能属于一个安全域。这是防火墙架构的硬约束——也是新手最容易搞错的地方。三、三要素:流量从A到B的三个必要条件