安全NA第一天筆記：Firewall基本理論

 防火牆的三種類型：
《1》包過濾（packet filtering）：也就是咱們經常使用的訪問控制列表（ACL）
1.ACL類型：標準，擴展，命名，自反
2.ACL其餘特性：
（1）從新排列序列號：
    ip access-list    XXX 10 10 (10 10 之間的間距）
  (2)重置計數器：
    clear access-list couters XXXXXX
  (3)log數據包：
    access 101 deny ip any host 1.1.1.1 log/log-input
  (3)註釋：
    ip access-list  XXXX
    remark +XXXX（註釋）
    access 101 deny ip any host 1.1.1.1（先註釋，再配ACL）
  (4)obeject-group：比較古老，可是厲害
    先配置好obeject-group，再配置acl

3.ACL的短處-------
1.只能基於源和目的；
2.不能工做動態應用(像協議生產的隨機端口）

《2》代理proxy servers
軟件防火牆的主流技術，常常爲web流量 用代理服務器。
好處：高速緩存（廣域網加速的壓縮技術），流量清洗（能解封至7層，過濾）
壞處：性能差，兩個TCP會話

《3》狀態防火牆 stateful packet filtering     
硬件防火牆主流技術，爲穿越TCP和UDP維護狀態化表象
特色：
爲每一個TCP和UDP維護一個狀態化表項；
返回數據包首先查詢狀態化表項，若是是之前鏈接的，就算被ACL拒絕也能夠穿越防火牆；
狀態化表項維護：TCP源目端口，源目IP，序列號等
高性能，硬件防火牆主流技術。