為幫助考生備考軟考網絡工程師考試，希賽小編為大家整理了2022下半年網絡工程師知識點：防火墻技術，相信對大家備考會有幫助。

華為防火墻默認分為4個安全區域：

（1）Trust區域：本區域內的網絡受信程度高，通常用來定義內部用戶所在的網絡。

（2）DMZ區域：本區域內的網絡受信程度中等，通常用來定義公共服務器所在的區域。

（3）Untrust區域：本區域代表的是不受信任的網絡，通常用來定義Internet等不安全的網絡。

（4）LOCAL區域，防火墻自身所在的區域

在華為防火墻中，每個安全區域都有一個安全級別，用1-100表示，數字越大，代表這個區域越可信。默認情況下，LOCAL區域安全級別100、Trust區域為85，DMZ為50，Untrust區域為5。

安全域間的數據流動具有方向性，包括入方向(Inbound)和出方向(Outbound)。

入方向：數據由低優先級的安全區域向高優先級的安全區域傳輸。

出方向：數據由高優先級的安全區域向低優先級的安全區域傳輸。

防火墻能夠工作在三種模式下：路由模式、透明模式、混合模式。注意三種模式的區別。

防火墻的分類：

包過濾防火墻的工作是通過查看數據包的源地址、目的地址或端口來實現的，由于防火墻只是工作在OSI的第三層（網絡層）和第四層（傳輸層），因此包過濾的防火墻的一個非常明顯的優勢就是速度，缺點由于無法對數據報的內容進行核查，一次無法過濾或審核數據報的內容。

應用型代理防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品

動態包過濾防火墻。對于新建立的應用連接，狀態檢測型防火墻先檢查預先設置的安全規則，允許符合規則的連接通過；記錄下該連接的相關信息，生成狀態表；對該連接的后續數據包，只要是符合狀態表，就可以通過，更加靈活。

大型的網絡放一個路由器到防火墻前面主要是路由器的接口豐富，適合廣域網的多種不同類型的接口鏈路，而防火墻接口單一。但具體做題的時候，要根據設備的接口去看。關鍵是看DMZ這個接口。