防火墙也是经常用到的设备，可以先来了解一下！

1、 查看当前版本

命令：<SRG>display version

2、 查看当前配置

<SRG>display current-configuration

3、 防火墙的四个区：local,trust ,untrust, dmz, 这四个是系统自带不能删除，除了这四个域之外，还可以自定义域。域的优先级local>trust>dmz>untrust,自定义的域的优先级是可以自己调节的。域与域之间如果不做策略默认是deny的，即任何数据如果不做策略是通不过的，如果是在同一区域的就相当于二层交换机一样直接转发。域与域之间有inbound和outbound区分，华为定义了优先级低的域向优先级高的域方向就是inbound，优先级高的域向优先级低的域方向就是outbound

4、 设置防火墙安全区域，将接口放入安全区域

[SRG]firewall zone trust

[SRG-zone-trust]add interface GigabitEthernet 0/0/0

[SRG]firewall zone untrust

[SRG-zone-untrust]add interface GigabitEthernet 0/0/1

案例测试

防火墙FW1配置

[SRG]interface g0/0/0

[SRG-GigabitEthernet0/0/0]ip address 192.168.1.1 24

[SRG]interface g0/0/1

[SRG-GigabitEthernet0/0/1]ip address 20.1.1.1 24

[SRG]ip route-static 0.0.0.0 0.0.0.0 20.1.1.2 //设置默认路由

路由器AR1的配置

[AR1]interface g0/0/0

[AR1-GigabitEthernet0/0/0]ip address 20.1.1.2 24

防火墙FW1配置：把两个接口分别放到不同的区域

[SRG]firewall zone trust

[SRG-zone-trust]add interface GigabitEthernet 0/0/0

[SRG]firewall zone untrust

[SRG-zone-untrust]add interface GigabitEthernet 0/0/1

在防火墙FW1上布署域间包过滤规则，

[SRG]policy interzone trust untrust outbound

[SRG-policy-interzone-trust-untrust-outbound]policy 0

[SRG-policy-interzone-trust-untrust-outbound-0]action permit

[SRG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 0.0.0.255

FW1设置NAT技术

[SRG]nat-policy interzone trust untrust outbound

[SRG-nat-policy-interzone-trust-untrust-outbound]policy 1

[SRG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat

[SRG-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.0 0.0.0.255

[SRG-nat-policy-interzone-trust-untrust-outbound-1]easy-ip GigabitEthernet 0/0/1

测试发现主机可以通过防火墙访问外网路由器

很不错的一个案例！！！