一、什么是防火墙
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
二、防火墙的防御对象
授权用户
非授权用户
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备。
三、防火墙的区域
(1)Trust: 该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
(2)Untrust: 该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。
(3)DMZ(Demilitarized非军事区): 该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。
四、防火墙类型
1、包过滤防火墙----访问控制列表技术---三层技术
简单、速度快
检查的颗粒度粗
2、代理防火墙----中间人技术---应用层
降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
代理技术只能针对特定的应用来实现,应用间不能通用。
技术复杂,速度慢
能防御应用层威胁,内容威胁
3、状态防火墙---会话追踪技术---三层、四层
在包过滤( ACL 表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用 hash 来处理形成定长值,使用 CAM 芯片处理,达到交换机的处理速度。
首包机制
细颗粒度
速度快
五、防火墙练习
进入cloud添加端口
2、进去防火墙配置ip并允许所有
3、进入防火墙的图形化界面配置ip及区域
4、设置策略
因为默认拒绝所有,PC1访问不到sever,所以写一条策略untrust到trust允许通过
5给PC配置ip
交换配置
将servic1的ip修改成和pc1一个网段
2、修改为网络模式为交换
测试
接口对配置
1、将两个接口修改为接口对模式
2、新建一个接口对,将两个口添加进去
测试