防火墙与路由器区别:
路由器:隔离网段,连接不同的网络。若不写ACL策略则谁都可以通过
防火墙:区域之间禁止通信,隔离网络、隔离区域,是区域间的保护伞。若不写ACL策略,谁都通过不了。
防火墙基本功能:
防火墙对进出的数据进行限制,能对进出的数据进行检查,记录相关信息
访问控制、攻击防护、冗余设计、日志记录、路由和交换、虚拟专网VPN、NAT
防火墙区域:
内部区域、DMZ区域(称为隔离区,也成非军事化区/停火区)、外部区域
防火墙发展历史:
包过滤防火墙: 也叫分组过滤防火墙,根据(3层IP层)数据包的源、目的地址,端口号及协议类型、标志确定是否允许分组包通过。优点:高效、透明;缺点:对管理员要求高、处理信息能力有限。
应用代理防火墙: (过滤5层应用层数据)每个代理需要一个服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该程序。优点:安全性高,能检测内容;缺点:连接性能差,支持的应用少。
状态检测防火墙: 从传统包过滤发展而来,除了包过滤检测的特性外,对网络连接设置状态特性加以检测。优点:减少检查工作量,提高效率;缺点:对应用层检测不够深入。
防火墙工作模式:
1. 透明模式/桥模式:一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下,用户需要加装防火墙以实现安全区域隔离的要求。一般讲网络分为内部网、DMZ区和外部网。
2. 路由/NAT模式:一般用于防火墙当做路由器和NAT设备连接上网的同时,提供安全过滤功能。一般将网络分为内部网、DMZ区和外部网。
3. 混杂模式