【网络安全知识】入门防火墙基本原理，还是得看这篇！小白一看就懂！

防火墙是可信和不可信网络之间的一道屏障，通常用在LAN和WAN之间。它通常放置在转发路径中，目的是让所有数据包都必须由防火墙检查，然后根据策略来决定是丢弃或允许这些数据包通过。例如：

如上图，LAN有一台主机和一台交换机SW1。在右侧，有一台路由器R1连接到运营商的路由器ISP1。防火墙位于两者之间,这样就可以保证LAN的安全。路由器是可选的，主要是取决于所连的WAN。例如，如果您的 ISP 提供电缆，那么您可能有一个带有以太网连接的电缆调制解调器，也可以直接连接到您的防火墙。当它是无线连接时，您可能需要那里的路由器进行连接。如果您需要配置（高级）路由，如 BGP，您就需要路由器。大多数防火墙支持一些基本路由选项：静态路由、默认路由，有时还支持 RIP、OSPF 或 EIGRP 等路由协议。

我们在这里谈论硬件防火墙。还有软件防火墙，例如 Microsoft Windows 预装的防火墙。它具有与我们的硬件防火墙类似的功能。

1、状态过滤

防火墙，如路由器，可以使用访问控制列表来检查源、目地址/端口号。然而，大多数路由器不会在过滤上花太多时间……当它们收到数据包时，就检查数据包的源目信息是否与访问控制列表中的条目匹配，如果匹配，它们会允许或丢弃该数据包。无论他们收到一个数据包还是数千个数据包，每个数据包都会单独处理，不进行跟踪之前是否检查过的数据包，这称为无状态过滤。

与之相反的就是，有状态过滤。防火墙会跟踪所有入向和出向的连接。例如：

• 局域网里有台电脑，作为邮箱客户端，通过互联网去访问邮箱服务器，邮箱客户端起初会进行TCP三次握手，经过防火墙，就知道它们的源目信息，防火墙会跟踪这些信息，当邮箱服务器要进行响应客户端的请求时，防火墙就会自动允许这部分的流量通过防火墙，最终到达客户端。

• 一个 Web 服务器位于防火墙后面，它是一个繁忙的服务器，平均每秒从不同的 IP 地址接受 20 个新的 TCP 连接。防火墙会跟踪所有连接，一旦发现每秒请求超过 10 个新 TCP 连接的源 IP 地址，它将丢弃来自该源 IP 地址的所有流量，防止 DoS（拒绝服务）。

2、数据包检测

大多数防火墙支持进行数据包（深度）检查。简单的访问控制列表仅能检查源、目标地址/端口，即 OSI 模型的第 3 层和第 4 层。数据包深度检查意味着防火墙可以检查 OSI 模型的第 7 层。这就意味着防火墙查看应用程序数据甚至负载：

上面你看到网络（IP）和传输层（TCP）被标记为红色，应用层被标记为绿色。这个示例是来自捕获web浏览器请求页面的数据包。

3、安全区

默认情况下，Cisco 路由器将允许并转发它们收到的所有数据包，前提是需要匹配它们的路由表中的路由。如果你想进行限制，你必须配置一些ACL。如果设备有很多接口或很多条ACL需要配置，这会成为网工的噩梦。这是一个例子：

上面的路由器有两个入站方向ACL来阻止来自主机的一些流量。此外，还有两个ACL，来防止来自 Internet 的流量进入我们的网络。我们还可以复用一些ACL，但记得将ACL应用到四个接口。

接下来有个更好的解决方案，防火墙可以结合安全区域来工作。这是一个例子：

上面我们有两个安全区域：

• inside：这是LAN区域。

• outside：这是WAN区域        接口已分配到正确的安全区域。这些区域有两个简单的规则：

• 允许从“高”安全级域到“低”安全级别的流量。

• 拒绝从“低”安全级别到“高”安全级别的流量。

LAN是我们信任的网络，所以具有很高的安全级别。WAN 不受信任，因此它的安全级别较低。这意味着来自从LAN去往WAN的流量将被允许。从 WAN 到 LAN 的流量将被拒绝。由于防火墙是有状态的，它会跟踪传出连接并允许其返回的流量。

如果您想例外，也可以允许从 WAN 到 LAN 的流量，这就需要通过访问控制列表来完成了。

大多数公司将拥有一台或多台服务器，这些服务器大部分是需要从 Internet来访问。如邮件服务器。为了安全，我们没有将它们放在内部（LAN），而是放在称为DMZ（非军事区）的第三个区域。看看下面的图片：

DMZ 安全区域的安全级别介于 INSIDE 和 OUTSIDE 之间。这意味着：

• 允许从 INSIDE 到 OUTSIDE 的流量。

• 允许从 INSIDE 到 DMZ 的流量。

• 允许从 DMZ 到 OUTSIDE 的流量。

• 从 DMZ 到 INSIDE 的流量被拒绝。

• 从外部到 DMZ 的流量被拒绝。

• 从外部到内部的流量被拒绝。

为确保来自 OUTSIDE 的流量能够到达 DMZ 中的服务器，我们将使用一个访问列表，该列表只允许流量流向 DMZ 中服务器使用的 IP 地址（和端口号）。此设置非常安全，如果您在 DMZ 中的其中一台服务器遭到黑客攻击，您的 INSIDE 网络仍然是安全的。

4、总结

您现在已经了解了防火墙的基础知识。防火墙使用状态过滤来跟踪所有入站和出站连接。他们还能够（主要看防火墙型号）检查 OSI 模型的第 7 层、应用程序的有效负载。

防火墙还使用安全区域，允许来自高安全级别的流量进入较低安全级别。从低安全级别到高安全级别的流量将被拒绝，可以使用访问控制列表进行特例处理。

如何学习网络安全

给你一个忠告，如果你完全没有基础的话，前期最好不要盲目去找资料学习，因为大部分人把资料收集好之后，基本上都是放在收藏夹吃灰，同时资料收集的多了，学起来就会迷茫，也会让自己很有压力。

磨刀不误砍柴工，如果你是准备自学的话，要分步骤去进行：

• 第一步：搭建自学知识框架，具体怎么搭建学习框架，在后面我会讲；

• 第二步：按照学习框架给自己定制阶段性的学习计划和目标，最好是按周自我反馈和调整；

• 第三步：针对每周的学习计划寻找合适的自学资源，注意，只找当前需要的，不要贪多

• 第四步：找几个懂得人，和他们处理好关系，后面学习过程中遇到问题还能有人给你解答；

这些都要一步一步来，不要想着一口气吃成一个大胖子。

搭建学习框架也是有诀窍的，比如我常用的三种方式：

1.和牛人成为朋友，身边的朋友或公司的同事都可以，但要注意，记得请人家吃饭联络好感情，不然到关键时刻，很少有人会去帮你； 2.从各个博客网站上面搜索想了解的知识点路线图，然后找高赞的博文，基本上不会差，但要注意辨别真伪； 3.多找几个培训机构，看他们整理的课程大纲是什么样的，涉及哪些知识点，然后做归类汇总，具体的我就不说了，免得让大家认为我在给培训机构打广告；

废话不多说，先上一张图镇楼，看看网络安全有哪些方向，它们之间有什么关系和区别，各自需要学习哪些东西

在这个圈子技术门类中，工作岗位主要有以下三个方向：

安全研发 安全研究：二进制方向 安全研究：网络渗透方向

怎么入门？

聊完宏观的，我们再落到具体的技术点上来，给你看看我给团队小伙伴制定的网络安全学习路线，整体大概半年左右，具体视每个人的情况而定。

如果你把每周要学的内容精细化到这种程度，你还会担心学不会，入不了门吗，其实说到底就是学了两个月，但都是东学一下，西学一下，什么内容都是浅尝辄止，没有深入进去，所以才会有学了2个月，入不了门这种感受。 （友情提示：觉得有帮助的话可以收藏一下本篇文章，免得后续找不到）

1、网络安全理论知识（2天） ①了解行业相关背景，前景，确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周） ①渗透测试的流程、分类、标准 ②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察 ④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周） ①Windows系统常见功能和命令 ②Kali Linux系统常见功能和命令 ③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周） ①计算机网络基础、协议和架构 ②网络通信原理、OSI模型、数据转发流程 ③常见协议解析（HTTP、TCP/IP、ARP等） ④网络攻击技术与网络安全防御技术 ⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天） ①数据库基础 ②SQL语言基础 ③数据库安全加固

6、Web渗透（1周） ①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

7、脚本编程（初级/中级/高级） 在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级黑客 这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。

视频配套资料&国内外网安书籍、文档&工具 当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

一些我自己买的、其他平台白嫖不到的视频教程：

这份完整版的学习资料已经上传CSDN，朋友们如果需要可以点击下方CSDN官方认证资料免费领取【保证100%免费】