安全NA第一天笔记:Firewall基本理论

 防火墙的三种类型:
《1》包过滤(packet filtering):也就是我们常用的访问控制列表(ACL)
1.ACL类型:标准,扩展,命名,自反
2.ACL其他特性:
(1)重新排列序列号:
    ip access-list    XXX 10 10 (10 10 之间的间距)
  (2)重置计数器:
    clear access-list couters XXXXXX
  (3)log数据包:
    access 101 deny ip any host 1.1.1.1 log/log-input
  (3)注释:
    ip access-list  XXXX
    remark +XXXX(注释)
    access 101 deny ip any host 1.1.1.1(先注释,再配ACL)
  (4)obeject-group:比较古老,但是厉害
    先配置好obeject-group,再配置acl

3.ACL的短处-------
1.只能基于源和目的;
2.不能工作动态应用(像协议生产的随机端口)

《2》代理proxy servers
软件防火墙的主流技术,经常为web流量 用代理服务器。
好处:高速缓存(广域网加速的压缩技术),流量清洗(能解封至7层,过滤)
坏处:性能差,两个TCP会话

《3》状态防火墙 stateful packet filtering     
硬件防火墙主流技术,为穿越TCP和UDP维护状态化表象
特点:
为每个TCP和UDP维护一个状态化表项;
返回数据包首先查询状态化表项,如果是以前连接的,就算被ACL拒绝也可以穿越防火墙;
状态化表项维护:TCP源目端口,源目IP,序列号等
高性能,硬件防火墙主流技术。

你可能感兴趣的:(安全NA第一天笔记:Firewall基本理论)