防火墙
在生活中----用于阻止火势蔓延的一堵墙(主要是石膏板 哈哈哈)
在网络中(从建筑里的概念引用过来的)---在遭受入侵时,做内外网隔离的策略叫做防火墙
发展史:
第一阶段:包过滤阶段(1989年):
如图所示:R0上做了G0/0->G0/1方向的NAT,此时左边可以访问右边的外网server1;
在知道对端网络部署的情况下,当server1没有工作时,PC1可以构造一个包很容易的就穿过了NAT+ACL;原理:NAT穿越时会有一个转换表(记录了IP地址的转换和内外端口号的转换)。
②ACL+TCP{ACK+RST(释放链接)} Eatablished ACL
查看tcp flag字段是否有ACK或RST,这个机制的意思是只有别人触发了你的ACK或RST回报时才可以放行。
缺点:当大量的向服务器发送ACK+RST,导致服务器无法正常工作;
只能用于TCP协议,UDP,CIMP等无法实现。
③自反ACL:
原理:当配置正常ACL时如果流量出去,就会在进来的接口上生成一个与其相反的ACL对进来的路由进行过滤。(只有出去了才会让其进来)
缺点:逐包匹配,如果包过多就会引起路由器负载问题