先区分INSIDE OUTSIID DMZ 三个区 。
INSIDE一般定义为安全的。是属于我自己可控的范围之内的。OUTSIDE是属于不安全的范围的。DMZ是一个独立的区域。处于INSIDE和OUTSIDE的之间。可以在他们三个之间定义一些属性。
高优先级可以主动的访问低优先级。低优先级不能主动的访问高优先级。默认的是这样的。
状态表:当一个数据包第一个包。由INSIDE主动往外边发起的。它会主动记录你的源IP目的IP。FIAGE位。端口号。序列号。确认号。这个包回来的时候。会检查状态表。如果匹配会放行。如果不匹配就拒绝。主要是检查序列号。主要是有TCP三次握手。如果不匹配就会检查ACL。路由器默认是放通。防火墙默认是拒绝。
状态表:IP INSPECT NAME CCNP TCP
接口应用:IP INSPECT CCNP IN 或者OUT
UDP:UDP没有序列号。确认号。但是UDP 可以使用超时。
先匹配状态表。再匹配ACL。
在路由器上叫CBAC 在防火墙上叫 PIX ASA
状态表主要是为回来的包服务的。没有状态表,出去的包就不会回来。因为在外边已经拒绝了。
DMZ:主要是放服务器的。
防火墙的技术:ACL 代理防火墙。 状态防火墙。
代理防火墙是一个应用层的防火墙。比较消耗CPU。他在中间启用一个代理功能。你发给我的数据。我先检查。如果没有问题。再封装。封装的时候是用我自己的IP地址。我再转发给目的地。
状态性防火墙:比较ACL 和代理性防火墙。在安全方面和。CPU的消耗方面有很大的改进。
主动FTP和被动FTP主动FTP会被防火墙拒绝掉。被动防火墙。就是为了解决这个防火墙的问题的。
被动FTP传数据的时候。是被动的接收。TCP的端口号是随机的。主动FTP的数据的端口号是20。
状态防火墙可以检测到更深的东西。可以适用主动FTP。
UDP的会话默认是30S。可以修改 TCP的会话默认是3600S.。也可以修改。