添加網(wǎng)關(guān)，將自動生成一條指向網(wǎng)關(guān)的缺省

這里管理的優(yōu)先級高于安全策略，安全策略未放通，但是，這里勾選，則可以正常訪問

分區(qū)?

接口默認的是trunk干道

4.防火墻區(qū)域類型：

Trust---信任區(qū)

Untrust----非信任區(qū)

Local---防火墻所有接口都屬于這個區(qū)域

DMZ-----非軍事化管理區(qū)域---放置一些對外開放的服務(wù)器

注意：將一個接口劃入某一個區(qū)域時候，則將這個接口所連接的網(wǎng)絡(luò)劃分到對應(yīng)的區(qū)域中，而接口本身永遠屬于屬于local區(qū)

優(yōu)先級---·1-100----1.從優(yōu)先級高的區(qū)域到優(yōu)先級低的區(qū)域----出方向---outbound

?????????????????? 2.從優(yōu)先級低的區(qū)域到優(yōu)先級高的區(qū)域----入方向---inbound

5路由模式

6.配置防火墻步驟

1. 接口Ip地址，區(qū)域劃分
2. 寫內(nèi)網(wǎng)的回報路由
3. 安全策略
4. 內(nèi)到外的NAT
5. 服務(wù)器的映射

7.透明模式

1. 接口配置vlan,以及區(qū)域劃分
2. 安全策略
3. 增加設(shè)備的管理接口，用于控制管理設(shè)備以及設(shè)備的自我升級

8.旁路檢測模式

混合模式：

9防火墻的安全策略

傳統(tǒng)的包過濾防火墻技術(shù)---其本質(zhì)就是ACL訪問控制列表，根據(jù)數(shù)據(jù)包的特征進行過濾，對比規(guī)則，執(zhí)行對應(yīng)的動作。

這里數(shù)據(jù)包的特征---數(shù)據(jù)包的五元組---源ip，目標IP ，源端口號，目標端口號，協(xié)議。

在安全策略中，可執(zhí)行三個模塊的內(nèi)容，第一模塊對數(shù)據(jù)流量進行抓取第二模塊做訪問控制，允許或則拒絕通過；第三模塊是在允許通過的情況下可以進行內(nèi)容安全的檢測，一體化檢測。

所有匹配項之間的關(guān)系都是“與”（必須滿足所有的條件才會執(zhí)行），一條中如果可以多選，則多個選項之間的關(guān)系為“或“關(guān)系

10防火墻的狀態(tài)檢測和會話表技術(shù)

主主要機制是以數(shù)據(jù)流作為單位，僅僅針對首包進行檢測，檢測之后，將數(shù)據(jù)包特征記錄在本地會話表中，之后，之后數(shù)據(jù)流中的其他數(shù)據(jù)包來到防火墻中，不再匹配安全策略，則匹配會話表，根據(jù)會話表進行轉(zhuǎn)發(fā)。

回來的數(shù)據(jù)包會被檢測是否符合協(xié)議定義的后續(xù)報文要求

1. 會話表技術(shù)
2. 狀態(tài)檢測技術(shù)

會話表技術(shù)---是提高轉(zhuǎn)發(fā)效率的關(guān)鍵----老化機制

1. 會話表老化時間過長---占用資源，會導致一些會話無法正常建立
2. 老化時間過短---或?qū)е乱恍┬枰L時間發(fā)送一次的報文強行終止，影響正常業(yè)務(wù)。