形态:软件防火墙和硬件防火墙
保护对象:单机防火墙和网络防火墙
访问控制方式:包过滤、代理和状态检测
其中包过滤方式无法检测数据的载荷部分,同时当防火墙的过滤条目过多后,对数据的转发也会变慢,且这是一种静态的过滤方式,对于端口的动态变化无法适应。
代理是工作在应用层,使用对应协议的应用层协议对其内容进行审核,只有当内容审核通过后,才能够被传入内部的信任区域,但是因为是工作在应用层的软件进行相关包内容的审核,所以速度较慢,而且升级困难,周期较长。
因为上述的方式都有一定的缺点,所以并没有被很好的广泛使用。
状态检测它是包过滤的拓展,也称为基于连接状态的包过滤,它会考虑包的前后文,它会对包的会话会进行相应的记录和维护。
防火墙的组网方式
1、防火墙可以以交换机的形式加入到拓扑当中,然后以一种透明的方式进行安全的防护
2、同时防火墙也可以以路由的方式去抵挡外部的一些流量,与上面的组网方式不同的就是,该方式是工作在三层架构,需要配置一些IP地址将网络设备进行互连,而上面的交换机架构,直接将防火墙放入拓扑中即可,工作在三层的防火墙的特路由特性不是很强,对于BGP,ISIS不支持,而且路由性能肯定也是比不上路由器的。
防火墙的安全区域
华为防火墙有四个默认区域:
local:默认优先级100,local指代自己
trust:默认优先级85
untrust:默认优先级5
dmz:默认优先级50
自定义区域:可以自定义区域的名字,以及优先级其取值范围为1-100,但是取值不能与上面的四个默认区域的优先级相同。
高优先级区域能够访问低优先级区域,但是低优先级区域不能访问高优先级区域。
firewall zone name xxx:创建一个对应的安全区域
区域视图下:set priority xxx:设置对应区域的优先级
区域视图下:add interface g0/0/1 :将接口添加到对应的区域中
注意:一个接口只能计入到一个区域中