CCSA学习笔记 第三节 防火墙原理与基本配置

CCSA学习笔记 第三节 防火墙原理与基本配置

一、防火墙技术

1、包过滤技术=访问控制列表（第一代防火墙技术）
	基础的访问控制列表分为两种
		a、标准的访问控制列表：基于数据包的源IP地址来进行访问控制
		b、扩展的访问控制列表：基于源目IP地址，源目端口号，协议类型实现访问控制
	       	扩展的访问控制列表相对于标准的访问控制列表更加灵活
	
2、代理服务器技术（典型的例子如ESA/WSA）
	请求的外部设备将请求数据包发送到代理安全设备上
	该代理设备代替请求设备将该数据包转发给被请求设备 
	
3、状态监控包过滤技术
	初始化流量：连接发起的第一个数据包
	状态化表象：防火墙用于存放关于“初始化流量”的地方
	通过记录初始化流量的参数，用来决定后续返回流量是否能够放行

二、防火墙关于区域的概念

内：信任的区域
外：非信任区域
DMZ：隔离区，非军事化区

三、安全级别（思科私有）

1、通过安全级别的配置，可以告知防火墙，所连接的区域是否安全
2、安全级别范围（0-100），数字越大越安全
	a、相同安全级别接口直联流量不允许通过，必须使用命令打开
	b、流量从高到低为outbound流量，默认允许通过
	     流量从低到高为inbound流量，默认不允许通过
	c、默认情况下使用Inside命名，安全级别为100，其余所有命名，默认均为0
	 
3、接口IP地址配置
	a、配置区域名
	b、配置安全级别
	c、配置IP地址
	d、激活接口 no shutdown

4、区域名与安全级别是否必须配置？