网络基础信息及安全 23

任务2防火墙用户管理配置——项目二防火墙技术的应用课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02华为防火墙安全区域华为防火墙登录方式子任务1用户认证策略配置03子任务2用户免认证策略配置0401任务规划任务规划企业通常在网络出口位置部署防火墙，通过本地认证对各部门的员工进行用户认证，通过认证的用户能够通过防火墙，未通过认证的用户则无法通过防火墙。现某公司要求对访客上网采取免认证，而公司内部员工上网则采取本地认证策略。本任务采用华为模拟器eNSP实施，网络拓扑如图所示,，防火墙型号为USG6000V。。任务规划网络拓扑图任务规划端口地址和区域划分设备接口IP地址安全区域FWGE1/0/0/24guestGE1/0/1/24trustGE1/0/2/24untrustGE0/0/00/24

PC1Ethernet0/0/1/24guestPC2Ethernet0/0/1/24untrustPC3Ethernet0/0/1/24trustCloud1Ethernet0/0/1

本任务的环境华为模拟器eNSP实施，防火墙型号为USG6000V“02相关知识相关知识——2.1华为防火墙安全区域相关知识——2.1华为防火墙安全区域安全区域华为防火墙的安全区域（SecurityZone），简称为区域（Zone），是一个逻辑概念，用于将网络分割成不同的逻辑部分，每个部分拥有自己的安全级别和访问规则。安全区域是一个或多个接口的集合，防火墙通过安全区域来划分网络、标识报文流动的路线。默认情况下，报文在不同的安全区域之间流动时受到控制，而在同一个安全区域内流动时则不受控制。华为防火墙安全区域相关知识——2.1华为防火墙安全区域安全区域的作用（1）安全策略都基于安全区域实施；（2）在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全策略；相关知识——2.1华为防火墙安全区域安全区域的作用（3）只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相应的安全策略；（4）在防火墙中，同一个接口所连网络的所有网络设备一定位于同一安全区域中，而一个安全区域可以包含多个接口所连的网络。华为防火墙相关知识——2.1华为防火墙安全区域华为防火墙的四个安全区域华为防火墙上有Trust、DMZ、Local（本地区域）和Untrust四个安全区域相关知识——2.1华为防火墙安全区域华为防火墙的四个安全区域（1）Trust（受信任区域），受信任程度高，通常用来定义内部用户所在的网络。安全级别默认为85。（2）DMZ（非军事区/隔离区），受信任程度中等，通常用来定义内部服务器（如Web服务器、FTP服务器等）所在的网络。DMZ区域起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。安全级别默认为50。相关知识——2.1华为防火墙安全区域华为防火墙的四个安全区域（3）Untrust（不受信任区域），受信任程度低，通常用来定义Internet等不安全的网络。安全级别默认为5。（4）Local（本地区域），代表防火墙本身，即防火墙的所有接口都隐含属于Local区域。用户不能向Local区域中添加或删除接口，但防火墙上所有接口发出的报文都被认为是Local区域发出的，需要防火墙响应并处理的报文也被认为是Local区域接收的。安全级别默认为100，是安全级别最高的区域。相关知识——2.1华为防火墙安全区域华为防火墙的四个安全区域默认安全区域的级别：Local区域：100Trust区域：85DMZ区域：50Untrust区域：5报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound），报文从由高级别的安全区域向低级别的安全区域流动时为出方向（Outbound）。相关知识——2.1华为防火墙安全区域华为防火墙的四个安全区域除了默认的四个安全区域，用户可以根据需要自定义安全区域，并设置相应的安全级别。在配置时，需要为安全区域指定名称、安全级别，并将接口添加到相应的安全区域中。配置完成后，防火墙将根据安全区域和安全策略对报文进行控制和过滤。相关知识——2.1华为防火墙安全区域华为防火墙的四个安全区域安全区域需要与安全策略结合使用。安全策略是一系列规则，它们定义了不同安全区域之间的通信行为。华为防火墙通过安全策略实现了对企业网络流量的精确管控，包括访问控制策略、应用控制策略、服务控制策略、流量控制策略和内容过滤策略等。这些策略与安全区域紧密相关，共同构成了防火墙的安全防护体系。事故事件由于防火墙的安全区域配置不当，产生的事故事件某市政务云边界策略开放：因将核心业务区域错误划入DMZ且未设访问限制，导致勒索病毒横向传播，全市40余个政务系统瘫痪超过72小时。金融机构交易区暴露：某省农商行防火墙未隔离开发与生产环境，攻击者通过测试区跳板入侵核心交易系统，造成2000余张银行卡数据泄露。相关知识——2.2华为防火墙登录方式相关知识——2.2华为防火墙登录方式防火墙的发展历程可以划分为如下几个阶段相关知识——2.2防火墙的发展历程华为防火墙常见的登录方式华为防火墙常见的登录方式：

Console口登录Telnet登录SSH登录Web登录相关知识——2.2防火墙的发展历程华为防火墙常见的登录方式（1）Console口登录。Console口登录是一种本地登录方式，用户需要使用串口线将计算机与防火墙的Console口相连，通过串口终端软件进行登录和管理。（2）Web界面登录。Web界面登录是华为防火墙提供的一种简单易用的登录方式。用户可以通过Web浏览器访问防火墙的Web界面，进行基本的配置和管理。相关知识——2.2防火墙的发展历程华为防火墙常见的登录方式（2）Web界面登录。Web界面登录是华为防火墙提供的一种简单易用的登录方式。用户可以通过Web浏览器访问防火墙的Web界面，进行基本的配置和管理。相关知识——2.2防火墙的发展历程华为防火墙常见的登录方式（3）SSH登录。SSH（SecureShell）登录是目前华为防火墙的主流登录方式。用户可以通过SSH协议连接到防火墙，进行配置和管理。SSH协议提供了加密的数据传输，确保了登录过程的安全性。相关知识——2.2防火墙的发展历程华为防火墙常见的登录方式（4）Telnet登录。Telnet是远程登录协议，用户可以通过Telnet客户端软件连接到防火墙进行配置和管理。事故事件由于防火墙的安全区域配置不当，产生的事故事件医疗机构设备区域混用：某三甲医院将患者监护设备与办公网络置于同一安全区域，黑客通过打印服务器入侵CT影像系统，篡改诊断数据。工业企业工控网无隔离：某制造企业未划分OT安全区域，导致办公网挖矿病毒渗透至生产线PLC，造成精密机床程序错乱，直接损失超800万元。03子任务1子任务1-1用户认证策略配置本任务基于华为eNSP模拟平台开展，拓扑结构、端口地址及区域划分已在前期说明中明确。所用防火墙型号为USG6000V，请依序完成下列配置任务：（1）配置FW1的接口基本参数，并加入相关的安全域。（2）创建免认证用户组（3）用户认证策略Guest（4）创建密码认证用户组和用户（5）创建用户认证策略本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-1用户认证策略配置封锁下的进击封锁下的进击：华为防火墙的自主突围与技术韧性。华为防火墙受到美国的封锁，但是积极进取，不低头。芯片断供应对：在美国切断先进芯片供应后，华为迅速启用自主研发的“鲲鹏”系列芯片，确保防火墙等核心产品持续生产与迭代。软件系统重构：推出完全自主的鸿蒙操作系统及欧拉服务器系统，实现防火墙系统层技术去美国化，保障供应链安全。04子任务2子任务1-2用户免认证策略配置本任务基于华为eNSP模拟平台开展，拓扑结构、端口地址及区域划分已在前期说明中明确。所用防火墙型号为USG6000V，请依序完成下列配置任务：（1）新建免认证用户和密码认证用户的转发策略。（2）为认证用户进行认证配置。（3）新建安全策略auth。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-2用户免认证策略配置