HCIE 第一天防火墙笔记整理

一、结合以下问题对当天内容进行总结
1. 什么是防火墙？
2. 状态防火墙工作原理？
二、复现上课俩个演示实验

一、结合以下问题对当天内容进行总结
1 什么是防火墙？
防火墙是一种隔离（非授权用户和授权用户之间部署）并过滤（对受保护 网络有害的流量或数据包）的设备
根据区域概念来处理流量
防火墙与路由器、交换机是有区别的不同的俩类设备。路由器用来连接不同的网络，通过路由协议 保证互联互通，确保将报文转发到目的地，交换机则通常用来组建局域网，作为局域网通信的重要枢 纽，通过二层/三层交换快速转发报文，我们发现俩者都是负责转发的设备。而防火墙主要部署在网络边 界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙 的本质是控制。
防火墙区域：
安全区域等级 内网（trust）100

                    外网（untrust）0服务器区(DMZ) 50

2. 状态防火墙工作原理？
在包过滤（ACL表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。
会话表可以用hash来处理形成定长值，使用CAM芯片处理，达到交换机的处理速度。
首包过来发现没有会话表会通过对比策略来生成会话表，建立会话。只有首包可以建立，重传不能建立会话
二、复现上课俩个演示实验
实验复现

一，添加ip地址
pc1:110.1.1.2 24
server1:20.1.1.2 24
server2：50.1.1.2 24
server3: 50.1.2.2 24
防火墙：g1/0/0，g1/0/1

R1：
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 10.1.1.2 24
[ISP-GigabitEthernet0/0/0]int g0/0/01
[ISP-GigabitEthernet0/0/1]ip add 20.1.1.1 24
[ISP]ip route-static 0.0.0.0 0 10.1.1.1

二，配置交换机
SW1：
[SW1]vlan 2
[SW1-vlan2]int vlan2
[SW1-Vlanif2]ip add 100.1.1.2 24
[SW1-Vlanif2]vlan 3
[SW1-vlan3]int vlan3
[SW1-Vlanif3]ip add 110.1.1.1 24
[SW1-Vlanif3]int g0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 2
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 3
[SW1]ip route-static 0.0.0.0 0 100.1.1.1

SW2
[SW2]int Eth-Trunk 1
[SW2-Eth-Trunk1]trunkport g0/0/2
[SW2-Eth-Trunk1]trunkport g0/0/1
[SW2]int Eth-Trunk 1
[SW2-Eth-Trunk1]port link-type trunk
[SW2-Eth-Trunk1]port trunk allow-pass vlan 10 11
[SW2-Eth-Trunk1]vlan 10
[SW2]int g0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 10
[SW2]vlan 11
[SW2]int g0/0/04
[SW2-GigabitEthernet0/0/4]port link-type access
[SW2-GigabitEthernet0/0/4]port default vlan 11

三，防火墙做接口汇聚
添加en_trunk接口

添加vlanif10以及11接口


下方勾选可ping

四，制定安全策略
trust区域可访问untrust区域

untrust区域访问DMZ区域的server2服务器

防火墙制定两条静态路由

可访问trust区

为pc1回包

五，测试
PC1ping防火墙g1/0/1

PC1访问untrust区域

ISP ping server2

ping server3（50.1.2.2）