防火墙

防火墙

在生活中----用于阻止火势蔓延的一堵墙（主要是石膏板 哈哈哈）

在网络中（从建筑里的概念引用过来的）---在遭受入侵时，做内外网隔离的策略叫做防火墙

发展史：

第一阶段：包过滤阶段（1989年）：

如图所示：R0上做了G0/0->G0/1方向的NAT，此时左边可以访问右边的外网server1；

在知道对端网络部署的情况下，当server1没有工作时，PC1可以构造一个包很容易的就穿过了NAT+ACL；原理：NAT穿越时会有一个转换表（记录了IP地址的转换和内外端口号的转换）。

②ACL+TCP{ACK+RST(释放链接)} Eatablished ACL

查看tcp flag字段是否有ACK或RST，这个机制的意思是只有别人触发了你的ACK或RST回报时才可以放行。

缺点：当大量的向服务器发送ACK+RST，导致服务器无法正常工作；

只能用于TCP协议，UDP,CIMP等无法实现。

③自反ACL：

原理：当配置正常ACL时如果流量出去，就会在进来的接口上生成一个与其相反的ACL对进来的路由进行过滤。（只有出去了才会让其进来）

缺点：逐包匹配，如果包过多就会引起路由器负载问题