1、作用:隔离内外网,防止外部网络的入侵。
2、发展过程:
第一代:包过滤防火墙(欺骗类攻击无法防止、无法防御拒绝访问攻击DOS、采用逐包匹配效率低下)
①NAT+ACL版本防火墙
如图所示:R0上做了G0/0->G0/1方向的NAT,此时左边可以访问右边的外网server1;
在知道对端网络部署的情况下,当server1没有工作时,PC1可以构造一个包很容易的就穿过了NAT+ACL;原理:NAT穿越时会有一个转换表(记录了IP地址的转换和内外端口号的转换)。
②ACL+TCP{ACK+RST(释放链接)} Eatablished ACL
查看tcp flag字段是否有ACK或RST,这个机制的意思是只有别人触发了你的ACK或RST回报时才可以放行。
缺点:当大量的向服务器发送ACK+