什么是防火墙

防火墙是一种位于内部网络与外部网络之间的网络安全系统，可以将内部网络和外部网络隔离。它可以通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全

防火墙的防御对象

授权用户
非授权用户

防火墙是一种隔离（非授权用户在区域间）并过滤（对受保护网络有害流量或数据包）的设备

防火墙的区域

Local: 防火墙上提供了Local 区域，代表防火墙本身。
Trust: 该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。
Untrust: 该区域代表的是不受信任的网络，通常用来定义Internet 等不安全的网络。
DMZ（Demilitarized非军事区）: 该区域内网络的受信任程度中等，通常用来定义内部服务器(公司OA系统，ERP系统等)所在的网络。

如图所示：

状态防火墙

为了解决包过滤和代理服务器处理流量效果低下的问题，延伸出的状态防火墙。
防御思路：首包过滤的会话过滤策略

首先不使用包过滤策略。状态防火墙将流量看成会话来处理。
即只要会话中第一个包符合我们的防火墙策略，那么后续的属于该会话的流量将全部放行。
同时，会话表是由硬件来专门处理的，这样整个状态防火墙的效率就非常的高。
现在市面上的大多数防火墙的思路都是基于状态防火墙来升级的。

防火墙配置实验

1.建立拓扑

2.在Cloud中创建两个端口

3.IP配置

4.防火墙配置

使用配置的IP进入防火墙图形化界面

路由配置
配置区域和IP地址

配置策略

进行测试

交换配置
修改Server和PC为同一网段IP、

防火墙配置修改


测试

接口对配置
修改接口为接口对模式

新建接口对

测试