防火墙你懂多少，三分钟带你通俗了解( 三 ) _防火墙

文章插图

第二次握手，外部主机200.100.1.2的被动地TCP 80发出相应，将第二次握手的数据包传回到10.112.100.101的TCP 10025端口上，此时三层信息源IP地址：200.100.1.2目标IP地址：10.112.100.101源端口：TCP 80目标端口：TCP 10025但是外部接口拒绝了所有流量的进入，所以这个第二次握手的包无法送到内部主机，导致三次握手无法完成。从而主机就没法访问外部Web Server了

文章插图

由于TCP连接时，内部主机在发起第一次握手时总是以随机端口进行连接，所以你在外部也没法针对相应的端口进行流量的放行，但是如果把外部接口也改为permit ip any any，又会导致内部主机容易受到外部的侵害。

文章插图

说到这里，捷哥想说一句题外话曾经有一个学员网友问了我一个问题，说是在企业部署了一台Cisco 6509交换机作为汇聚设备。但是他又想实现这样的一个功能，看图吧：

文章插图

网友的意思是，想在Gi 2/1接口上做一些控制，只允许来自核心方面的流量访问办公区域的一些特定端口，其他的全部禁止访问，问我在这个Cisco 6509上怎么做。我告诉他的是："如果设备是交换机的话，你这个操作没法做。因为办公区的电脑访问外网或者内网服务器的时候，会打开一些随机端口，你就没法知道这些随机端口是什么。如果你随便在Gi 2/1接口上去做限制，会导致你办公区域的电脑根本没法上网。"## 3.2、状态检测型防火墙状态检测型防火墙就是为了解决"傻×"的包过滤型防火墙而存在的。它比包过滤型防火墙还多了一层"状态检测"功能。状态化检测型防火墙可以识别出主动流量和被动流量，如果主动流量是被允许的，那么被动流量也是被允许的。例如TCP的三次握手中，第一次流量是主动流量，从内到外，第二次流量就是从外到内的被动流量，这可以被状态监测型防火墙识别出并且放行。状态监测型防火墙会有一张"连接表"，里面记录合法流量的信息。当被动流量弹回时，防火墙就会检查"连接表"，只要在"连接表"中查到匹配的记录，就会放行这个流量

文章插图

第一次握手，内部主机10.112.100.101使用随机端口10025访问外部的WebServer200.100.1.2的TCP 80三层信息源IP地址：10.112.100.101目标IP地址：200.100.1.2源端口：TCP 10025目标端口：TCP 80由于内部接口放行所有流量，所以这个第一次握手的流量被放行了但此时，防火墙在连接表中生成了如下内容：

文章插图

第二次握手时，是外部主机被动弹回的流量源地址（外部）：200.100.1.2源端口（外部）：TCP 80目标地址（内部）：10.112.100.101目标端口（内部）：TCP 10025此时，防火墙会暂时拦截流量，然后检查连接表，看看内部主机的IP和端口，外部主机的IP和端口是否与连接表中记录的相同，如果相同，它就会放行这个流量。当然，形成连接表记录的先决条件是：主动发起访问一端的流量要符合防火墙的安全策略要求，也就是说内部网络向外部网络不被明确拒绝，外部网络访问内部网络被明确允许。只有连接表内记录了内外主机和IP端口信息的，被动弹回的流量才会被防火墙放行。如果是外部主动发起的流量，而防火墙又没有允许它访问内部，由于是外部主动发起的流量，所以防火墙的连接表里没有相应的信息，这就会遭到防火墙的拒绝。从而达到既保证了内部到外部的正常通信，又使得内部主机不受到外部的侵犯，这就是状态检测型防火墙的魅力所在。目前主流的硬件防火墙几乎都支持状态监测功能。## 3.3、代理型防火墙代理型防火墙一般是一个安装在多网卡服务器上的软件，拥有状态监测的功能，但是多了一项功能就是代理服务器功能。一般有正向代理和反向代理两种功能：**正向代理**正向代理用于内部主机访问Internet服务器的时候，特别是Web服务的时候很管用。当内部主机第一次访问外部的Web服务器时，代理服务器会将访问后的内容放在自己的"高速缓存"中，当内部主机再次访问该Web服务器的时候，如果有相同的内容，代理服务器就会将这个访问定位到自己的高速缓存，从而提升内部主机的访问速度。