防火墙的三种类型:
《1》包过滤(packet filtering):也就是我们常用的访问控制列表(ACL)
1.ACL类型:标准,扩展,命名,自反
2.ACL其他特性:
(1)重新排列序列号:
ip access-list XXX 10 10 (10 10 之间的间距)
(2)重置计数器:
clear access-list couters XXXXXX
(3)log数据包:
access 101 deny ip any host 1.1.1.1 log/log-input
(3)注释:
ip access-list XXXX
remark +XXXX(注释)
access 101 deny ip any host 1.1.1.1(先注释,再配ACL)
(4)obeject-group:比较古老,但是厉害
先配置好obeject-group,再配置acl
3.ACL的短处-------
1.只能基于源和目的;
2.不能工作动态应用(像协议生产的随机端口)
《2》代理proxy servers
软件防火墙的主流技术,经常为web流量 用代理服务器。
好处:高速缓存(广域网加速的压缩技术),流量清洗(能解封至7层,过滤)
坏处:性能差,两个TCP会话
《3》状态防火墙 stateful packet filtering
硬件防火墙主流技术,为穿越TCP和UDP维护状态化表象
特点:
为每个TCP和UDP维护一个状态化表项;
返回数据包首先查询状态化表项,如果是以前连接的,就算被ACL拒绝也可以穿越防火墙;
状态化表项维护:TCP源目端口,源目IP,序列号等
高性能,硬件防火墙主流技术。