1.防火墙按照控制方式分类:
(1).包过滤防火墙 (2)代理防火墙 (3)状态检测防火墙
(1)包过滤防火墙
逐包检测方式
(2)代理防火墙
通常在web、mail上使用
(3)状态检测防火墙
外部主动发送到主机上的信息不接受,但主机输出到服务器,服务器返回的信息会接受,省去了逐包检查。
防火墙的安全区域
安全区域(Zone)是一个或多个接口的集合,是防火墙区别于路由器的主要特征。
防火墙默认情况下为我们提供了三个安全区域,分别是 受信区域Trust、非军事化区域DMZ和 非受信区域Untrust。
Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
DMZ区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。
Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络
一个或多个接口的集合一个或多个接口的集合一个或多个接口的集合一个或多个接口的集合
安全区域的优先级的作用
每个安全区域都有自己的优先级,用1-100的数字表示,数字越大,则代表该区域内的网络越可信。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。
在同一个安全区内的主机可以ping通,不会触发安全检查。报文在不同的安全区域之间流动时,才会触发安全检查。若想要不同安全区域连通,需要配置安全策略,先配置允许trust区域流量去往untrust,再配置untrust区域流量去往trust的安全策略
防火墙的主要功能:控制访问:哪些流量可以过,哪些不可以。