很多考生在備考2022年網(wǎng)絡(luò)工程師考試，希賽小編為大家整理了2022年網(wǎng)絡(luò)工程師考試知識點（四十二）：防火墻技術(shù)，供考生備考復(fù)習。

華為防火墻默認分為4個安全區(qū)域：

（1）Trust區(qū)域：本區(qū)域內(nèi)的網(wǎng)絡(luò)受信程度高，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。

（2）DMZ區(qū)域：本區(qū)域內(nèi)的網(wǎng)絡(luò)受信程度中等，通常用來定義公共服務(wù)器所在的區(qū)域。

（3）Untrust區(qū)域：本區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來定義Internet等不安全的網(wǎng)絡(luò)。

（4）LOCAL區(qū)域，防火墻自身所在的區(qū)域

在華為防火墻中，每個安全區(qū)域都有一個安全級別，用1-100表示，數(shù)字越大，代表這個區(qū)域越可信。默認情況下，LOCAL區(qū)域安全級別100、Trust區(qū)域為85，DMZ為50，Untrust區(qū)域為5。

安全域間的數(shù)據(jù)流動具有方向性，包括入方向(Inbound)和出方向(Outbound)。

入方向：數(shù)據(jù)由低優(yōu)先級的安全區(qū)域向高優(yōu)先級的安全區(qū)域傳輸。

出方向：數(shù)據(jù)由高優(yōu)先級的安全區(qū)域向低優(yōu)先級的安全區(qū)域傳輸。

防火墻能夠工作在三種模式下：路由模式、透明模式、混合模式。注意三種模式的區(qū)別。

防火墻的分類：

包過濾防火墻的工作是通過查看數(shù)據(jù)包的源地址、目的地址或端口來實現(xiàn)的，由于防火墻只是工作在OSI的第三層（網(wǎng)絡(luò)層）和第四層（傳輸層），因此包過濾的防火墻的一個非常明顯的優(yōu)勢就是速度，缺點由于無法對數(shù)據(jù)報的內(nèi)容進行核查，一次無法過濾或?qū)徍藬?shù)據(jù)報的內(nèi)容。

應(yīng)用型代理防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品

動態(tài)包過濾防火墻。對于新建立的應(yīng)用連接，狀態(tài)檢測型防火墻先檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過；記錄下該連接的相關(guān)信息，生成狀態(tài)表；對該連接的后續(xù)數(shù)據(jù)包，只要是符合狀態(tài)表，就可以通過，更加靈活。

大型的網(wǎng)絡(luò)放一個路由器到防火墻前面主要是路由器的接口豐富，適合廣域網(wǎng)的多種不同類型的接口鏈路，而防火墻接口單一。但具體做題的時候，要根據(jù)設(shè)備的接口去看。關(guān)鍵是看DMZ這個接口。