CCSA学习笔记 第三节 防火墙原理与基本配置
一、防火墙技术
1、包过滤技术=访问控制列表(第一代防火墙技术)
基础的访问控制列表分为两种
a、标准的访问控制列表:基于数据包的源IP地址来进行访问控制
b、扩展的访问控制列表:基于源目IP地址,源目端口号,协议类型实现访问控制
扩展的访问控制列表相对于标准的访问控制列表更加灵活
2、代理服务器技术(典型的例子如ESA/WSA)
请求的外部设备将请求数据包发送到代理安全设备上
该代理设备代替请求设备将该数据包转发给被请求设备
3、状态监控包过滤技术
初始化流量:连接发起的第一个数据包
状态化表象:防火墙用于存放关于“初始化流量”的地方
通过记录初始化流量的参数,用来决定后续返回流量是否能够放行
二、防火墙关于区域的概念
内:信任的区域
外:非信任区域
DMZ:隔离区,非军事化区
三、安全级别(思科私有)
1、通过安全级别的配置,可以告知防火墙,所连接的区域是否安全
2、安全级别范围(0-100),数字越大越安全
a、相同安全级别接口直联流量不允许通过,必须使用命令打开
b、流量从高到低为outbound流量,默认允许通过
流量从低到高为inbound流量,默认不允许通过
c、默认情况下使用Inside命名,安全级别为100,其余所有命名,默认均为0
3、接口IP地址配置
a、配置区域名
b、配置安全级别
c、配置IP地址
d、激活接口 no shutdown
4、区域名与安全级别是否必须配置?