防火墙当前是我们经常使用到的网络安全设备，通常我们会将防火墙部署在网络的出口处作为内网与外网的隔离设备。

部署模式

1、路由部署

路由部署的模式中，防火墙墙通常需要配置出口IP地址、内网接口IP地址、安全策略、出口NAT、NAT端口映射、NAT回流、IP路由表等配置；

2、透明部署

透明部署向较于路由部署，就相对简单，通常只需要配置接口模式和配置安全策略即可；

路由模式举例

1、拓扑

3、配置步骤

拓扑展示了当前小型局域网的典型拓扑结构，通常比较复杂的配置都在出口防火墙上，对于核心交换机和接入交换而言通常的配置一般也只有创建vlan和vlan虚拟IP的配置通常相对简单，案例中不做解释；

1、防火墙配置IP地址

小型组网中出口上网通常只有三种模式

1.1固定IP上网如拓扑所示，运营商会提供上网的固定IP地址、掩码、网关等信息，我们需要做的就是将网线或光纤插入防火墙上对应的端口就行；

注意:防火墙一般会有一个默认管理接口和默认管理地址，将调试电脑用网线插入默认管理口电脑配置和默认管理地址同网端的地址即可通过网页登录防火墙

1.2DHCP上网通常指的的是在防火墙外网口处还有网关设备。可能是其他的网关设备或者是已经拨了号的光猫设备，

1.3PPPOE通常是我们说的拨号上网，我们只需要填入拨号的账号密码即可

1.4内网通常都是固定IP配置和出口地址配置方法相同

2、配置出口NAT和路由表

2.1NAT又叫地址转换是目前上网的强制配置华三的防火墙有两种配置方式 策略NAT 和接口NAT但是两者不能公用，一般建议用接口NAT方式

2.2.1接口NAT方式

2.2.2策略NAT方式

2.2网络通信处理需要IP地址以外还需要路由表信息来指导数据转发，根据拓扑所示我们需要添加两条静态路由(实际情况根据规划地址写路由)

3、配置安全策略

安全策略是防火墙的核心功能，防火墙的的数据转发除了需要IP路由来指导转发以外还需要安全策略来指导数据的流向，并对不通的流量进行访问控制等精细化操作流程

3.1安全策略

安全策略的匹配规则是从上到下匹配，第一条匹配不通过时匹配下一条，如果数据所有策略都没有匹配上的话那就不放行这这个流向的数据；

3.2允许电脑上网

根据流量的分析，内部电脑上网的流量方向时trust到Untrust 的流量方向，所以我根据这个方向来编写策略；

3.3通过对象设置，允许指定地址上网不在指定地址的地址则不能上网

根据拓扑分析我们只需要允许源地址 192.168.10.0/24 网段目的网段为any 服务也any ,因为上互联网的所有不能指定目的地址和目的服务器类型；

3.4封堵高危端口

实际使用过程中通常会要求封堵一些服务和端口，但是我们要灵活分析编写规则。此处做几个举例配置

1.封堵内网到外网任意地址的445 端口

2、封堵外网-到内网的高危端口

通常来说没得端口映射需求，不需要编写外网到内网的策略，再次注意对于防火墙来说只要没有没有匹配的策略就是拒绝，所以当需要封堵端口时要确定号流量的方向，然后根据方向通过区域来实现端口封堵。

4、配置端口映射

端口映射通常指的的内部办公网络有对外提供的某种服务，需要从互联网网访问

举例：映射192.168.10.2服务器的tcp 8443 端口

1、互访网发起的访问请求会先到防火墙本地，所以需要一条Untrus到local的安全策略

2、流量到了防火墙时还需要有一条防火墙到内网的策略，所以要添加local-trust的策略

3.策略都添加完成后，开始配置端口映射策略,端口映射也有两种映射方式，一种只策略NAT的目的映射，另一种是接口NAT的内部服务器映射推荐应接口NAT方式

2、需求分析

1、配置接口IP

2、配置出口NAT和路由表

3、配置安全策略

4、配置端口映射