什么是防火墙
防火墙是一种位于内部网络与外部网络之间的网络安全系统,可以将内部网络和外部网络隔离。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全
防火墙的防御对象
授权用户
非授权用户
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备
防火墙的区域
Local: 防火墙上提供了Local 区域,代表防火墙本身。
Trust: 该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
Untrust: 该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。
DMZ(Demilitarized非军事区): 该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。
如图所示:
状态防火墙
为了解决包过滤和代理服务器处理流量效果低下的问题,延伸出的状态防火墙。
防御思路:首包过滤的会话过滤策略
首先不使用包过滤策略。状态防火墙将流量看成会话来处理。
即只要会话中第一个包符合我们的防火墙策略,那么后续的属于该会话的流量将全部放行。
同时,会话表是由硬件来专门处理的,这样整个状态防火墙的效率就非常的高。
现在市面上的大多数防火墙的思路都是基于状态防火墙来升级的。
防火墙配置实验
1.建立拓扑
2.在Cloud中创建两个端口
3.IP配置
4.防火墙配置
使用配置的IP进入防火墙图形化界面
路由配置
配置区域和IP地址
配置策略
进行测试
交换配置
修改Server和PC为同一网段IP、
防火墙配置修改
测试
接口对配置
修改接口为接口对模式
新建接口对
测试