无论是华为USG防火墙还是其他厂商的防火墙都有安全区域的概念，理解并掌握这部分很重要。

什么是安全区域？

一个或多个接口的集合，通过安全域划分网络，安全区域（Security Zone），通称区域，一般情况下，同一个区域间的数据报文不使用安全策略进行控制，在不同区域间传送的数据报文才使用安全策略进行控制。

注意：一个接口只能加入一个安全域

默认提供四个安全域：
0、Local：防火墙本身，不能添加任何接口，防火墙上所有的接口本身隐含属于Local区域，也就是说，报文通过某个接口到某网络，目的安全区域就是这个接口所在的安全区域，当报文通过接口到防火墙本身，目的安全区域就Local
1、Trust ：受信任度较高，通常定义内部用户所在的网络
2、DMZ ：受信任度，通常定义内部服务器所在的网络
3、Untrust ：不受信任的网络，通常定义不安全的网络

在生产环境中，可以根据实际情况定义多个区域，较小的生产环境可以直接使用默认的安全区域，USG防火墙安全区域都有一个级别，这个级别是唯一的，其默认的安全级别是固定的，可以根据实际情况定义不同的安全级别，华为USG防火墙最多支持32个安全区域。

安全级别 1-100，数值越大，受信任度越可信
Local ： 100
Trust ：85
DMZ ：50
Untrust ：5

确定安全区域后，需要了解数据流入流出的方向，数据在安全区域之间流动一般分为两种情况：
1、入方向：数据报文从低级别安全区域向高级别安全区域流动
2、出方向：与入方向相反

什么是安全策略？

安全策略就是控制规则，匹配规则不同区域之间的数据报文就可以相互交换，不匹配，则丢弃该数据报文，比较常见的应用就是Trust访问Untrust区域，需要一条由Trust区域访问Untrust区域的包含源目地址等参数的安全策略。

另外，需要注意安全策略是有顺序的概念，遵循的是从上到下的顺序逐条查找安全策略，如果已经匹配上就会执行该安全策略，执行完毕后就不会再向下查找安全策略。

NAT技术

源NAT是目前最常用的技术，比较常用的源NAT地址转换有出接口地址转换、网络地址和端口转换、网络地址转换等。

1、出接口地址转换（Easy-IP）：内部客户端访问互联网，会转换数据报文的IP地址，转换后的的IP地址只能是出接口IP地址，也就是出口公网IP；
2、网络地址和端口转换（Network Address and Port Translation，简称NAPT）：内部客户端访问互联网，对网络地址和端口进行转换；
3、网络地址转换（No Port Address Translation，简称NO-PAT）：内部客户端访问互联网时，只转换IP地址，不转换端口，不常用

NAT Server：适用于内网服务器提供给外部用户访问

什么是NAT环境下的路由黑洞？

避免数据报文的循环转发导致的防火墙和路由器之间的环路，当NAT地址池和出接口地址不在同一网段就必须要配置，在同一网段也建议配置，避免防火墙发送ARP报文。

V**

组网方式：
1、点对点访问：适用于分支网络与中心网络进行连接；
2、远程访问：适用于远程用户访问分支网络或中心网络；

主要技术：
1、隧道技术：二层协议L2TP等，三层协议IPSec等；
2、认证技术：
（1）数据认证：采用散列算法，保证数据在网络传输过程中不被篡改，保证数据的原始；
（2）身份认证：采用用户名、密码方式
3、加密技术：明文变成密文的过程，将数据封装到隧道后进行加密，到对端后进行解密

GRE V**技术

通用路由封装协议（General Routing Encapsulation，简称GRE），在内部网络原始数据报文前添加GRE头，再在GRE头前添加互联网IP地址头，这就是封装的过程，封装后的数据在隧道内进行传输，到达对端后，去掉信息，恢复原始报文，这种方式不推荐，数据报文是明文的。

L2TP V**技术

第二层隧道协议（Layer Two Tunneling Protocol，简称L2TP），有L2TP接入集中器（L2TP Access Concentrator，简称LAC,为PPP用户提供接入）和L2TP网络服务器（L2TP Network Server，简称LNS，PPP服务端，可以理解L2TP服务器端）组成。

封装过程：客户端PPP数据报文到达LAC，封装L2TP头（隧道ID和会话ID）、UDP头（上层应用，LNS收到该数据报文可以识别L2TP报文）、互联网IP地址头。
解封过程：LNS收到L2TP报文后，先检查互联网IP地址头和UDP头信息，再检查L2TP头信息，与已经建立的L2TP隧道ID和会话ID相同则解封，不相同则丢弃，继续检查PPP头信息是否正确，对PPP头进行解封，得到原始报文，送到上层处理。

IPSec V**技术

利用IPsec隧道建立的，和GRE、L2TP相比，更安全。

IPSec 主要由验证头协议、封装安全载荷、网络密钥交换组成，定义了协议格式以及提供的服务，提供数据完整性的验证功能，网络密钥交换可以自动协商交换密钥等服务。

验证头协议（Authenticaton Header，简称AH）：AH能够对数据源进行验证，同时还能对数据的完整性进行效验，本身不加密数据，AH的协议号为51

封装安全载荷（Encapsylate Security Payload，简称ESP）：除了具有AH功能外，还对IP报文进行加密，ESP的协议号为50

网络密钥交换（Internet Key Exchange，简称IKE）：用于自动协商AH和ESP所使用的加密算法

IPSec的两种模式

1、传输模式：一般用于主机安全网关或者主机之间的通信
2、隧道模式：一般用于主机安全网关和安全网关之间的通信

SSL V**术

安全套接层（Security Socket Layer，简称SSL），介于TCP/IP的第四层和第七层之间，为HTTP提供安全连接，以SSL协议为基础，基于B/S架构。