HCIE-Security Day1：防火墙概述、实验环境搭建、三种方式管理防火墙

防火墙概述

路由器、交换机、防火墙是最重要的三类网络设备。

交换机是部署在企业内部，用于实现局域网络互联，vlan划分的功能。路由器是部署在企业网络边缘，实现与其他节点，分支机构或者互联网连接的设备。园区网络内部，一般包含办公区，普通用户的业务一般在这里，数据中心，部署了很多服务器。

什么是防火墙？

防火墙是一个连接两个或者多个网络区域（安全区域），并且基于策略限制区域间流量的设备。

防火墙的本质是什么？

监控和控制流量。

对比路由器交换机的本质？

转发。

为了保证企业网络的安全性，需要部署防火墙，防火墙一般部署在数据中心的出口、路由器与核心交换机之间，即网络的内外边界，用于防止非法访问和攻*击。

防火墙一般还会旁挂DMZ区，叫做非军事化区，DMZ区中也部署了一些服务器，那么为什么不把这些服务器部署在数据中心呢？数据中心一般部署的服务器所承载的业务是企业内部员工来访问的，不允许外部用户来访问，而DMZ区部署的服务同时允许外部用户和内部用户来访问，比如邮件服务器等，web服务器等。这就是分区域的部署，可以提高网络的安全性。这就是通用的网络规划。

本节点和分支机构之间的访问如何进行呢？

分支机构也会部署防火墙，在两个防火墙之间，可以通过部署ipsecvpn来建立加密隧道，实现内网之间的互相访问。对于出差的员工，可以使用sslvpn、l2tp等连接到企业内网。

IPsec协议工作在OSI 模型的第三层，可以保护TCP/UDP等三层以上的数据。与传输层或更高层的协议相比，IPsec协议必须处理可靠性和分片的问题，这同时也增加了它的复杂性和处理开销。

安全就是只让通的通，没必要的都不要通。

一般在DMZ区上下游部署两道防火墙，这样可以减少攻*击对于业务的破坏，增加冗余，提高防护能力。

目前安全的思想是纵深防御思想。

安全设备有：防火墙（NGFW&