防火墙简介

一、简介
防火墙：一个连接两个或多个网络区域，并且基于策略限制区域间流量的设备。
本质：监控作用，从一个区域到另一个区域的流量是通过安全策略来监控的
1.防火墙的三种类型：
包过滤防火墙–代理防火墙–状态检测防火墙
1）包过滤：本质ACL，逐包检测
缺点：
逐包检测，不能关联后续报文；
无法针对多通道协议放行端口；
不能检测应用层数据
2）代理防火墙
本质是做代理，典型应用：WAF
缺点：
（1）速度慢
（2）针对每个应用开发，升级困难
3）状态检测防火墙：
（1）解决后续报文无法关联的问题
方案：首包建立会话，形成会话表，后续报文只需要匹配会话表
华为防火墙中的首包：TCP和ICMP
（2）解决多通道协议端口随机问题
方案：ASPF，应用特殊包过滤
（3）解决无法检测应用层内容
方案：安全策略中的内容安全（UTM）
关闭状态检测：
[USG6000V1]undo firewall session link-state check

防火墙硬件平台分类：intel x86-----ASIC----NP—多核
2.防火墙组网方式：
直路部署：
三层：改变网络结构，功能全面·
二层：不改变网络结构
旁路部署：

二、安全区域
默认四个zone：local、trust、untrust、dmz
local----本地区域，优先级100，所有的防火墙接口都属于local，用户不能改变zone区域本身的任何配置，包括添加接口
trust—信任区域，优先级85，一般用来连接内部的网络
untrust—非信任区域，优先级5，一般用来连接外部网络
DMZ----非军事区，优先级50，