防火墙

 

 

 

对需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃

实现包过滤的核心技术是访问控制列表

 

 判断包是否有关联性，通过五元组来判断（sip，dip，sport，dport，协议号）

 

 首包创建会话表

 

 防火墙组网模式：

（1）透明模式

好处：不改变网络结构

 （2）路由模式（日字型结构：下联核心交换机，上联路由器【网络边缘】）

应用在有VPN需求

为什么不用口字型（防火墙作为网络边缘，下联核心交换机）

三层以太网接口

 

 （3）混合模式

双机热备架构（心跳口：路由模式 | 上下行口采用透明）

 防火墙多业务功能

 

 访问控制-ACL功能

 

 

 

 组网模式也可以分为：

串联模式，就是把防火墙放在核心交换机和路由器之间

南北流量必须要经过防火墙

旁挂模式

下面是内网，上面是外网，内网访问外网，不经过防火墙

但是，外网访问内网，必须要经过防火墙，从公网进来，先把流引到防火墙，做流的检测，检测之后，放行，打包，经过1口再转发出去，到核心交换机，核心交换机再转发到服务器

 防火墙安全策略

 

 默认测试操作：拒绝

不写source-address和destination-address，默认就是any

 但是如果配了源地址，则如果从192.168.1.200就ping不通对面的设备

如果是源地址和目的地址都配了，则就只能在192.168.1.100上ping100.1.1.100

 

 

 

 目前用域间安全策略多些