防火墙分类:
1.早期的包过滤防火墙:
1)特别依赖ACL(访问控制列表)技术。劣势在于配置量大且很怕变动(IP变化、MAC变化)
2)没有前后报文的关联性。就会导致对方回复什么内容过来,防火墙都不检查。
2.状态检测防火墙(较为主流的防火墙):【学习】
1)可以检查报文前后的关联性
2)过滤数据包的机制(不再单靠ACL去完成匹配流量到底是拒绝还是放行了)
3.NGFW也就是状态检测防火墙的升级版(PLUS)支持更多功能的状态检测防火墙。
防火墙两种登陆方式:
1.命令行:
1)模拟器里,直接双击点击即可
2)真机操作时,需要用console线一端链接电脑一端链接防火墙的console口。然后打开终端软件(securtCRT/XSHELL/PUTTY/MOBAX),在终端软件中开启会话(选择串口Se口),选择对应的COM口(如何知道自己的console线是哪个Com口,可以打开你电脑的设备管理器进行查看)
如果console线插上电脑之后,没有出现端口COM几,大概率现在在设备管理器的固件一栏中,有一个黄色感叹号的固件。提醒你更新驱动,你去更新对应的console线的驱动既可正常使用(不排除你的console线确实坏了)
2.web登录:
1)模拟器登录,先拖一朵cloud云出来,然后按照下图的参数进行设置,注意绑定信息中,一个添加UDP,一个添加本电脑的网卡(建议使用环回口网卡进行测试,具体怎么添加环回口在windows中可以和我的战略合作机构www.baidu.com进行咨询)
![](https://secure2.wostatic.cn/static/dghhhc9nsPr6WqDW6ccTGv/image.png?auth_key=1711617019-geN9EyEvELRvSrS34QUsW9-0-58c047b54f23447fc3079cd20fe3ab21)
用一根网线连接到防火墙的网管口,另外一端连接到Cloud云上。(确保你电脑网卡的IP地址和防火墙网管口的IP地址之间可以通信,同网段即可)
在防火墙的网管口下(如G0/0/0)使用service-manager all permit(允许这个接口提供所有的可支持的服务)不论是ping、telnet、ssh、http、https等都可以正常跟防火墙的G0/0/0口建立链接。
在电脑的web界面,输入防火墙网管口的IP地址,就可以登录进去了。
2)真机登录
用一根网线连接到防火墙的网管口,另外一端连接到你自己电脑的网卡上确保你电脑网卡的IP地址和防火墙网管口的IP地址之间可以通信,同网段即可)
在防火墙的网管口下(如G0/0/0)使用service-manager all permit(允许这个接口提供所有的可支持的服务)不论是ping、telnet、ssh、http、https等都可以正常跟防火墙的G0/0/0口建立链接。
在电脑的web界面,输入防火墙网管口的IP地址,就可以登录进去了。
**防火墙分为二层、三层墙。**
二层墙就是对用户现有业务无感知,不需要单独配置IP地址、路由协议去工作的墙,等同于交换机。
如何使用二层墙?所有接口切换到portswitch二层口,即可。
三层墙就是对用户现有业务有感知,需要单独配置IP地址、路由协议去工作的墙,等同于路由器。
如何使用三层墙?所有接口切换到undo portswitch三层口,即可。就再加上IP地址等操作即可。
当然,不管是二层墙还是三层墙(安全区域、安全策略等内容的检查是一模一样的)