防火墙有以下几种类型:

  • 包过滤型防火墙:根据源地址、目的地址、协议类型、端口号等信息对数据包进行过滤。
  • 应用层网关型防火墙:在传输层以上对数据进行深度检查,可以识别应用层协议,如HTTP、FTP等。可以检测报文内容
  • 状态检测型防火墙:能够检测网络连接的状态,防止非法连接。
  • 组合型防火墙:将多种防火墙技术结合起来,提供更全面的安全保护。

防火墙实现访问控制的方式有以下几种:

  • 基于IP地址和端口号的访问控制:可以根据源地址、目的地址、协议类型、端口号等信息对数据包进行过滤。
  • 基于应用层协议的访问控制:可以识别应用层协议,如HTTP、FTP等,并根据协议的特点进行过滤。
  • 基于用户身份的访问控制:可以根据用户身份进行访问控制,只允许授权用户访问网络资源。

防火墙实现数据包过滤的方式有以下几种:(方向)

  • 入站过滤:过滤从外部网络进入本地网络的数据包。
  • 出站过滤:过滤从本地网络出去的数据包。
  • 双向过滤:同时过滤入站和出站的数据包。

防火墙实现NAT的方式有以下几种:

  • 静态NAT:将一个公网IP地址映射到一个私网IP地址上。
  • 动态NAT:将多个私网IP地址映射到一个公网IP地址上,动态分配端口号。
  • PAT(端口地址转换):将多个私网IP地址映射到一个公网IP地址上,使用不同的端口号区分不同的主机。
  • Easy IP:特殊的PAT,没有地址池的概念,使用接口地址作为NAT转换的公有地址。

防火墙实现反病毒功能的方式有以下几种:

  • 病毒扫描:对数据包进行扫描,检测是否包含病毒。
  • 病毒特征库:使用病毒特征库识别病毒。
  • 行为分析:通过分析应用程序的行为来检测病毒。

防火墙实现入侵检测的方式有以下几种:

  • 签名检测:使用已知的攻击特征进行检测。
  • 异常检测:通过分析网络流量和系统日志等信息来检测异常行为。
  • 行为分析:通过分析攻击者的行为来检测入侵行为。

**基本ACL和高级ACL有什么区别?

**ACL分为三种基本类型、基本ACL、高级ACL、二层ACL。基本ACL的编号是2000-2999只能匹配源IP地址等信息,高级ACL的编号是3000-3999可以匹配源IP地址、目的IP地址、源端口、目的端口、协议等,二层ACL的编号是4000-4999,可以匹配源MAC地址、目的MAC地址,以太帧协议类型等。

详细配置

项目上配置防火墙的流程

原则: 先调通,再优化,如涉及割接切换,注意对现有业务的最小化影响,以及割接回滚的准备
1、需求确定,
如 :防火墙的部署方式,路由 or 透明桥接
外网和内网的 物理接口定义,如果有多个外网(广域网 运营商出口,建议逐个调通,不要一起接上)
外网的拨号方式,DHCP, 静态地址(具体IP),PPPOE等
2、防火墙调试
外网出口配置
内网接口配置 ,
NAT / 路由策略配置
DHCP 配置(如需),DNS配置
内网业务打通(路由指向,或者VLAN 子接口对应)
此时 ,内网终端网络正常 ,需要验证(需ping 内网接口, 内网业务区(如跨网段,服务器区)外网接口, 广域网 网站,
叠加配置(如安全策略,如QOS 控制策略)

此时 ,需要验证网络连通性(需ping 内网接口, 内网业务区(如跨网段,服务器区)外网接口, 广域网 网站,
此时 ,需要验证策略生效情况(如安全隔断,如应用管控, 如带宽QOS管控)

叠加多出口 配置(如有多个运营商出口)
配置策略路由

此时,需要验证,通过源地址ping ,去确保目的地址的路由是通过正确的WAN 出口出去

最后
配置保存, 系统信息,关键配置截图 ,作为使用手册,运维手册的配套文档资料,