思维导图:
1.什么是防火墙?
它是一种位于内部网络与外部网络之间的网络安全系统,可以将内部网络和外部网络隔离。在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术
2.状态检测防火墙的机理
状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为 整个数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系
的。
状态检测机制开启状态下,只有首包通过设备才能建立会话表项,后续包直接匹配会话表项进行转发
3.防火墙如何处理双通道协议?
使用ASPF技术,
ASPF
(
Application Specific Packet Filter
,针对应用层的包过滤)也叫基于状态的报文过滤,
ASPF
功能
可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则
,
开启
ASPF
功能后,
FW
通过 检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map
表,用于放行后续建立数据 通道的报文,相当于自动创建了一条精细的“
安全策略
”
。
二、实验
让trust区域和的名字dmz区域进行通信如图PC3 --> PC4
首先将防火墙的g0/0/0接口开启服务
pc3 ip:10.1.4.2/24 pc4 ip:10.1.3.2/24
我们将AR1和AR2靠近PC的接口作为网关
在AR1和AR2上面配置路由
AR1:
ip route-static 100.1.2.0 24 100.1.1.1
ip route-static 10.1.3.0 24 100.1.1.1
AR2:
ip route-static 10.1.4.0 24 100.1.2.1
防火墙
ip route-static 10.1.3.0 24 100.1.2.2
ip route-static 10.1.4.0 24 100.1.1.2
然后在防火墙上进行配置
注意勾选上ping
测试: