防火墙基本概念

思维导图

1. 什么是防火墙？

网络在远古时期没有防火墙大家都是联通的，any to any，没有防火墙的时代就相当于没有门的房子， 没有城墙的城市。 路由器与交换机的本质是转发，防火墙的本质是控制和防护。 防火墙，顾名思义，阻挡的是火，此词起源于建筑领域，正是用来隔离火灾，阻止火势从一个区域蔓延 到另一个区域。引入到通信领域，防火墙也正是形象化地体现了这一特点：防火墙这一具体设备，通常 用于两个网络之间的隔离。当然，这种隔离是高明的，隔离的是“火”的蔓延，而又保证“人”的穿墙而过。 这里的“火”是指网络中的各种攻击，而“人”是指正常的通信报文。那么，用通信语言来定义，防火墙主要 用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性， 灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界 等等。
防火墙是一种计算机网络安全系统，可限制进出专用网络或专用网络内的互联网流量。 此类软件防火墙或专用的软硬件防火墙的主要功能是选择性地阻止或允许数据包。 防火墙通常用于帮助阻止恶意活动并防止专用网络内外的任何人进行未经授权的 Web 活动。

2. 状态防火墙工作原理？

 通过跟踪网络连接的过程，以流量为单位，确定连接是否可靠。目前最常见的防火墙

状态检测"机制，是以流量为单位 来对报文进行检测和转发，即：对一条流量的第一个报文(首包)进行包过滤规则检查，第一次来的包（防火墙可以区分是去的，还是回的），并将判断结果作为该条流量的"状态"记录进会话表项，建立两个缓存的session(一个去包缓存、一个回包缓存)，后续属于同一数据流的数据包匹配缓存表后放行

3. 防火墙如何处理双通道协议？

 防火墙使用ASPF处理双通道协议，ASPF可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则，开启ASPF功能后，防火墙通过协商报文的应用层携带的地址和端口信息，自动生成响应的server-map表，用于放行后续建立数据通道报文，相当于自动创建了一条精明的“安全策略”。

4. 防火墙如何处理nat？

 私网用户访问Internet：通过Nat源策略对ipv4报文头中的源地址进行转换，可以实现私网用户使用公网IP来隐藏本身IP并访问Internet的目的。（私网地址无法在公网中路由）
公网用户访问私网内部服务器：通过服务器映射功能，用公网地址对外显示内部服务器，可以实现外部网络用户通过公网地址访问私网内部服务器的需求。
私网用户使用公网地址访问内部服务器：源Nat和Nat Server 功能结合使用，使得私网用户与内部服务器之间交互的报文都经由防火墙处理。