一.网络防火墙的作用：

1. 在内网和外网之间搭建一个防火墙，用来防止外部黑客或者用户不希望的用户对内网服务进行访问。

2. 在内网中，重要、敏感信息资源和内网之间搭建一个防火墙，对内网中用户进行访问权限控制。避免无权访问的人员随意进行访问。

3. 可以对内网中的主机外连进行控制，限制内网主机访问不希望访问的网站，例如暴力、色情网站等。

二、防火墙一般部署在网络的进出口上

对访问的数据包进行判断，是否符合我们制定的安全策略，又称安全网关

三、防火墙控制的五元组

1.五元组：目的端口、原端口、目的IP、原IP、协议号

2.防火墙通过控制上述**五元组**达到控制访问的目的

四、访问控制列表ACL（Access  Control  List）

1.标志IP访问控制列表：Access-list（*名称*）  [list-number（*列表序号*）]  [permit（*接受*）|deny（*拒绝*）] [source-address（*IP地址*）] [wildcard-mask（*子网掩码*）] [log]

2.扩展的IP访问控制列表：Access-list（*名称*）  [list-number（*列表序号*）]  [permit（*接受*）|deny（*拒绝*）] [protocol（*协议*）][source-address（*源IP地址*）] [source-mask（*源IP掩码*）]  [source-port（*源IP端口*）] [destination-address（*目的IP地址*）]  [destination-mask（*目的IP掩码*）] [destination-port（*目的IP端口*）] [log] [option]

五、ACL规则的匹配原则

1.ACL按照列表顺序，从上到下依次匹配，一旦有一条匹配，结束匹配，并执行相应规则

2.如果所有规则均未匹配成功，则数据包将被丢弃

3.安全规则主要包含：源、目的地址和端口，TCP标志位，应用时间以及一些高级过滤选项

六、防火墙工作方式

工作方式1：包过滤

包过滤防火墙：单个数据包传输到防火墙，防火墙检测该包的五元组特征与ACL匹配规则，如果匹配成功，则执行相应策略。不设立内容缓存区，不关心传输内容，只通过算法进行包头数据对比检查。

优点：简单易行，处理速度快。

缺点：单包处理，只检查包头。前后数据包无逻辑关系，不能发现通信中插入或漏缺的数据包，也不能发现假冒者的数据包，易遭受DDOS攻击。

工作方式2：状态监测

1.状态监测型防火墙组成：状态监测防火墙 + 包过滤防火墙

2.状态监测防火墙：根据TCP/IP相关的协议规则，进行协议连接的状态监测，针对每一个连接都建立一个状态跟踪，发现状态不匹配时，则不转发此数据包。

3.运行过程：首先经过状态监测防火墙，检查该**数据包是否包含在状态监测表中**。

是，则通过。

↓

否，则需判断是否为新建立连接产生的数据包，进入包过滤防火墙。检查该数据包**是否通过安全过滤规则匹配**。

↓

是，则通过。|| 否，则丢弃。

工作方式3：应用代理

应用网关防火墙：对每一个应用建立一个代理，访问者进行访问时，建立从访问者到防火墙的连接，再由防火墙建立从防火墙到网络资源的连接。

优点：防火墙成为访问的中间代理人，中断了访问者与服务器之间的直接连接，可避免对

服务器的直接入侵。即“协议落地”

缺点：只是应用层的代理，需要与包过滤和、状态过滤技术一起使用。两边分别建立连接，设置缓冲区。缓冲时间长，速度慢，延迟大。

七、防火墙性能→防火墙设备的重要指标

1.吞吐量：不丢包的情况下，单位时间内通过的数据包数量。

2.时延：数据包第一个比特进入防火墙，到最后一个比特从防火墙输出的时间。

3.丢包率：通过防火墙传送时所丢失的数据包数量占所发送数据包的比率。

4.并发连接数：防火墙能够同时处理的点对点连接的最大数目。（状态防火墙）

5.新建连接数：在不丢包的情况下每秒可以建立的最大连接数。（状态防火墙）

注：

端口升级与虚拟化，需要更强的处理能力。

”策略硬件化”，是提高防火墙性能的主要方法。