防火墙是一种隔离(非授权用户和授权用户之间部署)并过滤(对受保护网络有害的流量或数据包)的设备
根据区域概念来处理流量
在不同的安全区之间做隔离,保证流量规范
作用:隔离不同的安全区域
远古防火墙:路由表 acl nat
现代防火墙:session server-map
包过滤防火墙---访问控制列表技术--三层技术
简单、速度慢。检查的颗粒度粗--5元组(源地址、目的地址、协议、源端口、目的端口)
代理防火墙---中间人技术--应用层
区域之间所使用的固定设备
代理技术只能针对特定的应用来实现,应用间不能通用
技术复杂、速度慢
能放御应用层威胁,内容威胁
状态防火墙---会话追踪技术---三层、四层
防火墙首包流程 会记录会话表 不仅仅是时间上的第一个包,也是第一个开始的会话包,重传不能建立会话
实验1:
![](https://img-blog.csdnimg.cn/img_convert/8150d408ccb1b13fac964bffd1598b84.png)
先在Cloud上创建端口如下图
![](https://img-blog.csdnimg.cn/img_convert/43ffe46c08a2cf80e35ec549f997ab11.png)
然后双击打开防火墙更改用户秘密
进入接口添加IP地址
允许所有
![](https://img-blog.csdnimg.cn/img_convert/229e48cccbc7690d8e6d0c23483ce8e8.png)
![](https://img-blog.csdnimg.cn/img_convert/4aea88e8f650f93f7d096fe274f9e7e9.png)
配置完成后在浏览器上输入192.168.40.2
登录用户名和密码
点击网络 根据拓扑图对防火墙GE1/0/0接口配置IP和安全区域trust
![](https://img-blog.csdnimg.cn/img_convert/232e27c2df757384f85bd2c7805940c1.png)
防火墙GE1/0/1接口配置IP和安全区域untrust
![](https://img-blog.csdnimg.cn/img_convert/d02fe51964d3eb248335127e84a94193.png)
对trust和untrust设备进行配置IP
防火墙需要策略才能互通
在图形页面找到策略
![](https://img-blog.csdnimg.cn/img_convert/366ffe35ab1034fd9006bb42ed381ab1.png)
发现可以ping通
![](https://img-blog.csdnimg.cn/img_convert/2fc7357c035760d519f56ad4c848cba2.png)
实验2:
![](https://img-blog.csdnimg.cn/img_convert/0def2792b118b61260c57bc2bae5f23e.png)
![](https://img-blog.csdnimg.cn/img_convert/25c71f4f2debe5542a14d628cc3e91c6.png)
![](https://img-blog.csdnimg.cn/img_convert/0d044407c0f411fc2259826cf586fd22.png)
![](https://img-blog.csdnimg.cn/img_convert/a5f9c355d7cd9d29e9dba37df942e42e.png)
配置接口对
![](https://img-blog.csdnimg.cn/img_convert/a09ec27a3d3cdc6216539a3ee3572a40.png)
![](https://img-blog.csdnimg.cn/img_convert/edd96fab3d1cc1ad5ab2044c6049d2e1.png)
![](https://img-blog.csdnimg.cn/img_convert/14efe69da5c6f3a7cd691a29666a5365.png)
![](https://img-blog.csdnimg.cn/img_convert/19a08f0dc0a97ec581c7740eb0f41d55.png)