本书针对华为HCNA安全课程所涉及的实验内容，从基本操作开始，由浅入深地介绍华为防火墙产品的各种配置及其使用。为方便读者阅读，本书采用命令行和图形界面两种配置模式进行介绍，同时为了保证实验的真实性，所有实验不使用eNSP模拟器，全部使用物理防火墙和运营商提供的互联网IP地址，让实验更具有实战参考价值。
　　本书语言通俗易懂，可操作性强，可作为华为USG防火墙管理人员参考用书，也可作为华为HCNA安全课程的实验手册。

　　何坤源，知名讲师，黑色数据网络实验室创始人，持有CCIE（RS/DC/SEC）、VCP-DCV（4/5/6）、H3CSE、ITIL等证书，目前担任多家企业、学校的IT咨询顾问，主讲VMware、Ovirt等虚拟化课程。
　　早在2006年，作者就将工作重心转向虚拟化、数据中心以及灾难备份中心的建设，2008年创建Cisco路由交换远程实验室，2009年创建虚拟化远程实验室，2015年创建云计算远程实验室。到目前为止，作者已经参与了多个企业虚拟化建设和改造项目，在虚拟化的设计、设备选型、运营维护等方面积累了丰富的经验。
　　工作之余，作者注重经验的总结和分享，几年来编写了《VMware vSphere 5.0虚拟化架构实战指南》《Linux KVM虚拟化架构实战指南》《VMware vSphere 6.0虚拟化架构实战指南》等图书，并有多种图书被各地的高校选为教材。

版权信息
内容提要
作者简介
前言
资源与支持
第1章 防火墙基础知识
1.1 防火墙的概念
1.2 防火墙的发展历史
1.2.1 包过滤防火墙
1.2.2 代理防火墙
1.2.3 状态检测防火墙
1.2.4 统一威胁管理防火墙
1.2.5 下一代防火墙
1.3 华为USG6000系列防火墙介绍
1.3.1 精准的访问控制
1.3.2 简单的策略管理
1.3.3 全面的威胁防护
1.3.4 快速的性能体验
1.3.5 华为USG6000系列防火墙产品线
1.4 华为USG防火墙安全区域及策略介绍
1.4.1 安全区域的基本概念
1.4.2 安全区域与接口关系
1.4.3 安全策略的基本概念
1.5 华为防火墙NAT介绍
1.5.1 源NAT的基本原理
1.5.2 NAT Server的基本原理
1.5.3 NAT环境下的路由黑洞
1.6 华为防火墙VPN介绍
1.6.1 VPN技术
1．VPN建设方式
2．VPN组网方式
3．VPN使用的主要技术
1.6.2 GRE VPN技术
1.6.3 L2TP VPN技术
1.6.4 IPSec VPN技术
1.6.5 SSL VPN技术
1.7 华为防火墙双机热备介绍
1.7.1 为什么使用双机热备技术
1.7.2 VRRP介绍
1.7.3 VGMP介绍
1.8 本书实验物理设备和拓扑
1.8.1 实验设备类型
1.8.2 实验设备介绍
1．华为USG6320防火墙介绍
2．华为USG6370防火墙介绍
1.8.3 实验拓扑
1.8.4 实验台操作
1.9 本章小结
第2章 防火墙基本操作
2.1 使用Console登录防火墙
2.1.1 实验目的
2.1.2 实验设备
2.1.3 实验拓扑
2.1.4 实验步骤
2.2 使用Web登录防火墙
2.2.1 实验目的
2.2.2 实验设备
2.2.3 实验拓扑
2.2.4 实验步骤
1．默认管理员admin登录
2．新建用户登录
2.3 使用Telnet登录防火墙
2.3.1 实验目的
2.3.2 实验设备
2.3.3 实验拓扑
2.3.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
2.4 使用SSH登录防火墙
2.4.1 实验目的
2.4.2 实验设备
2.4.3 实验拓扑
2.4.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
2.5 恢复防火墙密码
2.5.1 实验目的
2.5.2 实验设备
2.5.3 实验拓扑
2.5.4 实验步骤
2.6 防火墙其他日常配置
2.6.1 实验目的
2.6.2 实验设备
2.6.3 实验拓扑
2.6.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
2.7 本章小结
第3章 配置防火墙转发策略
3.1 配置基本转发策略
3.1.1 实验目的
3.1.2 实验设备
3.1.3 实验拓扑
3.1.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
3.2 配置基于IP地址的转发策略
3.2.1 实验目的
3.2.2 实验设备
3.2.3 实验拓扑
3.2.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
3.3 本章小结
第4章 配置使用NAT
4.1 配置出接口地址源NAT转换
4.1.1 实验目的
4.1.2 实验设备
4.1.3 实验拓扑
4.1.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
4.2 配置NAPT源NAT转换
4.2.1 实验目的
4.2.2 实验设备
4.2.3 实验拓扑
4.2.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
4.3 配置No-PAT源NAT转换
4.3.1 实验目的
4.3.2 实验设备
4.3.3 实验拓扑
4.3.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
4.4 配置NAT服务器映射
4.4.1 实验目的
4.4.2 实验设备
4.4.3 实验拓扑
4.4.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
4.5 本章小结
第5章 配置防火墙双机热备
5.1 配置主备备份模式的双机热备
5.1.1 实验目的
5.1.2 实验设备
5.1.3 实验拓扑
5.1.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
5.2 配置负载分担模式的双机热备
5.2.1 实验目的
5.2.2 实验设备
5.2.3 实验拓扑
5.2.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
5.3 本章小结
第6章 配置使用VPN
6.1 配置使用GRE VPN
6.1.1 实验目的
6.1.2 实验设备
6.1.3 实验拓扑
6.1.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
6.2 配置使用L2TP VPN
6.2.1 实验目的
6.2.2 实验设备
6.2.3 实验拓扑
6.2.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
6.3 配置使用IPSec VPN
6.3.1 实验目的
6.3.2 实验设备
6.3.3 实验拓扑
6.3.4 实验步骤
1．命令行配置模式
2．图形界面配置模式
6.4 配置使用SSL VPN
6.4.1 实验目的
6.4.2 实验设备
6.4.3 实验拓扑
6.4.4 实验步骤
6.5 配置使用GRE over IPSec VPN
6.5.1 实验目的
6.5.2 实验设备
6.5.3 实验拓扑
6.5.4 实验步骤
6.6 配置使用L2TP over IPSec VPN
6.6.1 实验目的
6.6.2 实验设备
6.6.3 实验拓扑
6.6.4 实验步骤
6.7 配置使用DSVPN
6.7.1 实验目的
6.7.2 实验设备
6.7.3 实验拓扑
6.7.4 实验步骤
6.8 本章小结
第7章 配置使用UTM
7.1 升级UTM库
7.1.1 实验目的
7.1.2 实验设备
7.1.3 实验拓扑
7.1.4 实验步骤
7.2 配置UTM防病毒
7.2.1 实验目的
7.2.2 实验设备
7.2.3 实验拓扑
7.2.4 实验步骤
7.3 配置UTM入侵防御
7.3.1 实验目的
7.3.2 实验设备
7.3.3 实验拓扑
7.3.4 实验步骤
7.4 本章小结
第8章 配置用户认证
8.1 配置密码认证
8.1.1 实验目的
8.1.2 实验设备
8.1.3 实验拓扑
8.1.4 实验步骤
8.2 本章小结
第9章 生产环境案例
9.1 华为USG防火墙与思科ASA防火墙IPSec VPN配置
9.1.1 实验目的
9.1.2 实验设备
9.1.3 实验拓扑
9.1.4 实验步骤
9.2 华为USG防火墙在中小企业的典型应用
9.2.1 实验目的
9.2.2 实验设备
9.2.3 实验拓扑
9.2.4 实验步骤
1．需求分析
2．设计规划
3．华为USG防火墙配置
4．结果验证
9.3 本章小结

　　随着虚拟化、云计算技术的发展，网络基础架构已经不再是传统的路由器、交换机组合，防火墙、入侵检测等设备在企业网络中使用得越来越多，网络安全也变得越来越重要。特别是最近几年出现的各种安全问题，使得企业纷纷加大对安全设备方面的投入。
　　在世界范围内，能够提供安全服务的厂商有很多，国外著名的安全厂商有Palo Alto Networks、Fortinet、Cisco、Check Point等，国内著名的安全厂商有华为、华三、深信服等。虽然各大厂商均能为企业用户提供完整的安全解决方案，但从使用习惯上看，国内厂商的安全设备更符合我国国情。
　　华为作为其中的佼佼者，能够为企业用户提供完整的安全产品和解决方案，特别是华为USG系列防火墙，目前在企业中已经得到大量使用。
　　本书针对企业用户的使用需求而编写，共9章，采用循序渐进的方式带领读者掌握华为USG系列防火墙的配置和操作，并指导读者如何在企业中部署。
　　本书涉及的知识点很多，由于作者水平有限，书中难免有不妥和疏漏之处，欢迎大家与作者进行交流。有关本书的任何问题、意见和建议，可以发邮件到heky@vip.sina.com与作者联系，也可与本书编辑（wangfengsong@ptpress.com.cn）联系。
　　以下是作者的联系方式。
　　技术交流QQ：44222798。
　　技术交流QQ群：240222381。
　　技术交流微信：bdnetlab。

　　本章首先介绍防火墙的概念和发展历史，然后介绍华为USG6000系列防火墙架构、安全区域及策略、NAT、VPN、双机热备等知识，最后介绍本书实验所使用的设备、实验拓扑以及实验台操作。
　　本章要点
　　防火墙的概念
　　防火墙的发展历史
　　华为USG6000系列防火墙介绍
　　华为USG防火墙安全区域及策略介绍
　　华为防火墙NAT介绍
　　华为防火墙VPN介绍
　　华为防火墙双机热备介绍
　　本书实验物理设备和拓扑
　　1.1　防火墙的概念
　　防火墙属于网络安全设备，其主要作用是通过各种配置，拒绝非授权的访问，保护网络安全。防火墙作为一个独立的硬件设备，可以通过访问控制、身份验证、数据加密、VPN技术等安全功能，形成一个信息进出的“屏障”。它不仅可以确保内部网络安全地访问互联网，同时还可以保护内部网络的安全。图1-1-1所示为防火墙在企业生产环境中的应用。在企业生产环境中，防火墙可以对来自内部以及外部的安全问题、内外部相互访问等进行有效控制。