♚防火墙特征：

✦逻辑区域过滤器

✦隐藏内网网络结构

✦自身安全保障

✦主动防御机制

防火墙分类：（安全策略的本质是包过滤）

✦包过滤防火墙（一代防火墙，不检测应用层）

          ♙逐包检测(无法关联数据包之间关系)

♙无法适应动态要求（无法适应多通道要求）

♙只检测报头（通常不检查应用层数据）

 

✦代理防火墙（二代防火墙）

 

 

✦状态检测防火墙（流检测，可检测应用层报文，会话表五元组，现在在用的）

    ♙内网访问外网配置安全策略，通过之后提取源IP，目的IP生成会话表，回来的报文只用匹配会话表即可

    ♙处理后续包速度快

     ♙安全性高

防火墙组网方式---二层以太网接口

（只对报文转发，不对路由寻址）

    ✦组网特点

         ♙对网络拓扑透明

          ♙不需要更改组网（防火墙两端属于同一个网络，防火墙工作在二层）  

 

防火墙组网方式---三层以太网接口（应用在很多场景）

 

防火墙是怎么区分不同的网络？（防火墙缺省状态下域间

默认动作是拒绝）

安全区域zone，防火墙通过将不同的接口加入不同的安全区域来区分网络，防火墙将一个接口加入某一个安全区域就代表这个接口下所连接的网络整个都属于这个安全区域，这个接口本身属于local区域。

 

华为防火墙（支持自定义安全区域 最多32个）

      默认情况有4个安全区域：（默认安全区域已经存在，不可删除和更改）

                trust                    -----  定义内网         安全级别85

                untrust                -----  定义公网                             5

                DMZ                    -----  定义服务器区                       50

                local                     -----  防火墙本身                           100

          安全级别 (1-100)  表示安全区域的受信程度

防火墙安全区域与接口关系：

       ♙ 防火墙不允许存在两个具有相同安全级别的安全区域

     ♙ 防火墙不允许同一个物理接口分属于两个不同的安全区域                                     ♙ 防火墙的不同接口可以属于同一个安全区域

inbound     低级别 -> 高级别、

outbound    高级别 -> 低级别

防火墙的配置：

      ♙ CLI 命令行模式

      ♙ web

防火墙域间缺省的包过滤动作时拒绝

域间：报文在安全区域之间流动，会触发安全检查，需匹配安全策略

域内：报文在一个安全区域内流动，不会触发安全检查

NGFW，全称是Next generation firewall，即下一代防火墙。