汤小萌的博客

1. 基于五元组的访问控制（最基础且核心）这是防火墙策略的基石。源IP地址目的IP地址源端口号目的端口号协议类型（如TCP、UDP、ICMP）通过这五元组，防火墙可以制定极其精细的策略，例如：“只允许财务部的IP段访问服务器的TCP 443端口，其他一律拒绝2. 基于用户/用户组的控制现代防火墙能将IP地址与具体用户身份绑定。策略可以写成：“允许‘市场部员工组’在上班时间访问‘社交媒体应用类’”，而不是写一串复杂的IP地址。这大大提升了策略的可读性和管理效率。

它确保内网中每一个IP地址的使用者都是经过授权、身份明确的设备，防止“内鬼”作乱。再vlan下启用user-bind报表检查（也可以在接口下，但是范围更小一些）它不信任外部来的报文，通过路径反查，过滤掉大量源IP不。没有命中的arp报文会认为是非法的而丢弃。真实（伪造）的攻击流量，如反射放大攻击。发送第一个数据包时进行拦截。企图毒化他人缓存时进行阻断。：按攻击发生的时间顺序。网络的第一步就进行控制。：在攻击者接入网络后，是否在同一个隔离组。