防火墙的基本原理

1、什么是防火墙

     

防火墙是一种隔离（非授权用户）并过滤（对受保护网络有害流量或者数据包）的设备
（实际防火墙还有交换和路由的功能）

2、状态防火墙的工作原理   

 

（以上是第一个包通过状态防火墙的经过。途中第四个过程是ACL通过之后会再去会话表记录
状态。记录之后后面的包就不会在再有首包的一系列的过程了，直接匹配会话表然后直接通过）

3、防火墙如何处理双通道协议

    server-map表

​		多于多通道协议比如FTP、VOIP等协议，通道是随机协商出的，防火墙不
能设置策略也无法形成会话表（按照目前所学）

​		解决办法，使用ASPF（应用层包过滤）技术。查看协商端口号并动态建立
server-map表放过协商通道的数据。（在数据协商报文的时候找出它的端口号）

​                ASPF（Application Specific Packet Filter，针对应用层
的包过滤）也叫基于状态的报文过滤，ASPF功能 可以自动检测某些报文的应用层信
息并根据应用层信息放开相应的访问规则,开启ASPF功能后，FW通过 检测协商报文
的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建
立数据 通道的报文，相当于自动创建了一条精细的“安全策略”。

4、防火墙如何处理NAT

  NAT作用：源地址转换和服务器映射

​	1、由于源地址转换所以当出去防火墙的时候源IP会变化所以原先匹配的
会话表就没用了，然后就会做个server-map表就能放行了。

​	2、因为NAT写策略的时候到底写转换前参数的还是写转换后的参数： 				

​					源地址转会写转换前的

​					服务器映射写转换后的

5、防火墙的策略：

接口划入区域：

 （进入到安全区域划分）

写静态路由（此时防火墙是当路由器的功能测试，一般情况下安全策略是要拒绝）

实现防火墙的功能做安全策略：

 

 （内网访问公网）

 （公网客户端访问DMZ区的http服务）