防火墙

防火墙安全区域：
trust 授信任区域 安全级 85 内网的区域
DMZ 非军事化区域 安全级 50 放置服务器区域
untrust 非军事化区域 安全级别 5 表示互联网流量
local 设备自身 安全级别 100 表示的是从设备自身发起的流量
或者到达设备的流量

基本配置思路
进入防火墙接口：配置IP地址
防火墙接口配置访问控制管理
将防火墙加入到安全区域

servic-manage ping permit 开启接口访问管理
firewalld zone trust 进入安全区域
add int g1/0/0 将接口加入到安全区域
firewalld zone untrust
add int g1/0/1

配置安全策略----------
–实现不同安全区域之间访问
图形：
选择策略-----新建策略----原区域------目标区域-------（允许、禁止）。
命令
security-policy 进入安全策略视图
rule name OUT 创建一条策略并命名
source-zone trust 设备原安全区域
destiation-zone untrust 设备目标安全区域
action permit 设备动作

PAT 端口地址转换
图形
安全策略------nat策略------原nat----命名----trust-----UNtrust-----出进口转换----
@@@配置安全策略
security-policy
rule name OUT
source-zone trust
destination-zone untrusta
actiaon permit
@@@配置 nat策略
nat-policy
rule name EASYIP
source-zone trust
destination-zone untrust
action nat easy-ip

动态NAT 地址池
@@配置安全策略
security-policy
rule name OUT
source-zone trust
destination-zone untrust
action permit
@@@配置nat地址池
nat address-group pool
mode pat
section 200.1.1.10 200.1.1.10
@@@配置nat策略—实现地址转换
nat-policy
rule name napt
source-zone trust
destination-zone untrust
action nat address-group pool

服务器映射发布
###配置安全策略
security-policy
rule name dmz
source-zone untrust
destination-zone dmz
action perm
###配置服务器映射
nat server natservef zone untrust protocol tcp global 200.1.1.11 80 inside 192.168.3.100 80 no-reverse
注： no-reverse：允许外网主机主动访问内网服务器，不允许服务器主动访问外