1. 防火牆簡介

   a.  防火牆位於兩個不同信任度網路之間，負責進行通訊控制，強制實施統一的安全策略，防止對重要資訊資源的非法行為。

   b.  防火牆可以是軟甲也可以是硬體裝置，或者兩者的組合。

   c. 作用：隔離內，外網路。

   d. 主要功能： 過濾資料包 ； 對網路攻擊行為檢測和報警 ； 記錄通過防火牆的資訊內容和活動 ；控制和封堵未得到允許的訪問行為。

2. 防火牆的相關概念

  a. 非信任網路（公共網路）：處於防火牆之外的公共開發網路

  b. 信任網路（內部網路）： 位於防火牆之內的可信網路，是防火牆要保護的目標。

  c. DMZ(非軍事化區) ： 可以位於防火牆之外，也可以位於防火牆之內，一般用於防止提供公共網路服務的裝置上。

  d. 可信主機： 位於內部網的主機。

  e. 非可信主機：不具有可信特性的主機。

  f. 公網IP地址： 由Internet資訊中心統一管理分配的IP地址

  g. 保留IP地址：專門保留用於內部網的IP地址。

   h. 包過濾： 根據資料包的頭部，按照規則進行判斷，決定繼續轉發還是丟棄。

   l. 地址轉換：防火牆將內部網路主機使用的保留地址轉換成公共地址。可以節省IP地址和隱藏內部網路拓撲結構。

3. 防火牆的優缺點

  優點：

   （1） 強化安全策略

    （2） 有效記錄網際網路上的活動

    （3） 把可疑的連線或訪問拒之門外。

   缺點：

    （1） 不能防範不經由防火牆的攻擊

     （2） 不能防止感染了病毒的軟體或檔案的傳輸。

     （3） 不能防止資料驅動式攻擊。

4. 防火牆的分類（根據實現原理）

  （1） 包過濾防火牆

   （2）應用層閘道器防火牆

   （3）狀態檢測防火牆

5. 包過濾防火牆（基於網路層的安全技術）

  （1） 在網路的入口對要通過的資料包進行檢查是否滿足過濾規則。

   （2）包過濾防火牆檢查會每個IP包的源地址，目的地址，協議，埠等資訊。

    （3） 優點： 簡單實用，實現成本低。

               缺點： 無法識別基於應用層的惡意侵入。

6. 應用層閘道器防火牆

  （1） 應用層閘道器防火牆又稱為代理。

            不允許在它連線的網路之間直接通訊；

            而是接受來自內部網特定使用者應用程式的通訊，然後建立與公共網路伺服器單獨的連線。

    （2）代理伺服器必須為特定的應用程式安裝代理程式程式碼，才可以實現通訊。

    （3）優點：能對付應用層的侵入和病毒。

     （4）缺點：影響系統的整體效能；增加系統管理的複雜性。

7. 狀態檢測防火牆

   （1） 狀態檢測防火牆又稱為動態過濾防火牆，是包過濾防火牆的功能升級版。

   （2） 實現原理：

             跟蹤防火牆的網路連線和資料包，使用一組附加的標準確定是否允許通訊。

     （3）a.  狀態檢測防火牆可以有效地判斷各層中的非法入侵。

              b.  一般附帶的分散式探測器可以對網路內部的惡意破壞有極強的防範作用。

8. 訪問控制列表

   （1） IP訪問控制列表（ACL）是實現包過濾的核心技術。

   （2）ACL由一系列允許和拒絕條件的集合，通過訪問列表可以過濾發進和發出的資訊包的請求，實現對路由器和網路的安全控制。路由器逐個地檢測包與訪問列表的條件，在滿足第一個匹配條件後，就可以決定是否接受或拒收該包。

   （3）IP訪問控制列表的分類：

            a.  標準訪問列表：只對資料包中的源地址進行檢查，而不考慮目的地址及埠號等過濾選項，表號為1~99.

            b. 擴充套件訪問列表： 既檢查包的源地址，也檢查包的目的地址，還可以檢查特殊的協議型別，埠以及其他引數，表號為100~199.

   （4）IP訪問控制列表的配置

            a. 建立標準訪問控制列表：

                Router(config) # access-list  access-list-number {deny | permit } source [source-wildcard]

               引數說明：

                access-list-number: 定義訪問列表的編號，取值範圍為1~99

                deny或者permit : 指定了允許還是拒絕資料包

                source ： 傳送資料包的主機地址

                source-wildcard : 傳送資料包的主機的萬用字元掩碼。

           提示1： 在訪問控制列表中，萬用字元掩碼（255.255.255.255 減去子網掩碼求出），其中255.255.255.255 表示所有的IP地址（可以用any代替），0.0.0.0表示所有32位都要進行匹配，表示本機，用host表示。

     b. 建立擴充套件訪問控制列表：

        Router  (config) # access-list  access-list-number {permit | deny }

                                      protocol {source [source-wildward] | any }

                                     {destination [destination-wildcard] | any }

                                       [protocol-specific options ] [ established ] [ log ]

          引數說明：

          access-list-number : 定義訪問列表的編號，取值範圍為100~199

          deny 或 permit : 指定了允許還是拒絕資料包。

          protocol : 協議 。 如IP，TCP，UDP，ICMP，OSPF等

          source , destination , destination-wildcard : 源地址 和目標地址

          source-wildcard : 萬用字元掩碼。

          protocol-specific options : 指定協議選項，用lt , eq ,gt, neq (小於，等於，大於，不等於) 加埠號來指定，如 eq 80

c. 在介面配置模式下，使用access-group命令將ACL應用到某一介面上

    Router(config-if ) # ip access-group access-list-number { in | out} 

   其中，in 和 out 引數可以控制介面不同方向的資料包，如果不配置該引數，預設為out.