1.什么是防火墙？

防火墙（英语：Firewall），也称防护墙，是由Check Point 创立者Gil Shwed于1993 年发明并引入国际互联网（US5606668（A）1993-12-15）。

它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

2.状态防火墙的工作原理？

状态防火墙----会话追踪技术，主要检查的是三层和四层的数据流量。

在ACL的基础上增加"session表"，数据包需要查看会话表来匹配（仅首包需要查看策略表）。

会话表：会话表使用hash算法来处理定长值，使用类似于交换机的处理芯片“CAM”处理，处理速度与交换机的处理速度相差不大。

优点：

首包机制
细颗粒度
速度快

3.防火墙实验

1）拓扑图

2）实验步骤

先选择网卡

登录防火墙修改ip地址，并开启服务，这样在之后我们才能用web登录sug6000v

[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.223.2 24

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

可以用自己的电脑ping测试一下

输入IP地址登录

配置untrust区域

配置缺省路由

配置 turust区域

sw1配置

[view]int vlan 2

[view-Vlanif2]ip ad 10.1.255.1 24

[view-GigabitEthernet0/0/1]port link-type access

[view-GigabitEthernet0/0/1]port default vlan 2

[view]int vlan 3
[view-Vlanif3]ip ad 10.1.3.1 24

[view-GigabitEthernet0/0/2]port link-type access

[view-GigabitEthernet0/0/2]port default vlan 3

为使pc端可以ping，在静态这里做一个回包路由