防火墙你懂多少，三分钟带你通俗了解( 四 ) _防火墙

文章插图

文章插图

代理型防火墙的代理功能可以在内部主机访问Web数据的时候，起到一个缓存加速的情况。但是这种防火墙因为是安装在一台服务器上的软件，其性能受到服务器本身的限制。所以对于一些实时性的数据，或者是从网上下载文件到本地，就可能会被防火墙拖慢网速。目前代理型防火墙在企业一般很少用于正向代理或者是出口网关设备，倒是反向代理更多。**反向代理**反向代理和正向代理有点类似，只不过访问的方向是外部到内部。当外部主机要访问内部发布的某个服务器的时候，不会让它把访问目标定位到内部服务器上，而是反向代理设备上。反向代理设备会从真实的服务器上抽取数据到自己的缓存中，起到保护真实服务器的功能。反向代理一般单独部署，不和状态检测防火墙部署在一起，各自实现各自的功能。

文章插图

反向代理在一定程度上可以保护内部的真实服务器，即使遭到危险，也是反向代理被危及被破坏的数据也是缓存。并且反向代理服务器上可能会记录对方的危险方式，找出网络系统中存在的缺陷，提醒管理员即使封阻漏洞，修复缺陷。

文章插图

# 四、关于防火墙的学习方法## 4.1、理解原理，掌握技巧（了解原理，查阅手册）因为防火墙生产厂商比较多，把每个厂商的防火墙的配置命令和设置方式都拿出来一个一个的说，这个非常不现实。因为在企业内部的防火墙都是生产环境，我不可能那生产环境的防火墙来给大家做试验品，一来这可能导致网络故障（责任我背不起啊！）二来我和客户签了保密协议，出于职业道德我也不能把这些配置都展示给大家。进口防火墙产品因为是全英文的手册复杂，但是有着一套比较完善的模拟器系统，可以帮助大家理解防火墙的特性和配置方式，所以，捷哥在这个专栏里面，着重用两款进口产品（Cisco和Juniper）为大家展示防火墙特性的一些配置及验证。国内的防火墙产品，捷哥也会在专栏的文章里面体现到。因为国内的产品缺少模拟器，而且实际环境多半是Web界面进行配置，所以对于国内的防火墙产品捷哥重点是教大家如何去查阅手册（国内产品一定是全中文手册，非常容易看懂）。## 2、抓住重点，切勿混淆这一点是针对于学过路由交换的读者说的。曾经捷哥在51cto学院出了一个跟Juniper相关的视频课程，结果被人打了差评，原因就是我没有讲在防火墙上如何配置OSPF、BGP这些路由协议。在这里我必须给大家强调一下，因为防火墙从最初的设计上来讲，就是为了作为网络边界设备和安全设备。防火墙的工作重点是在处理包过滤及状态化会话，以及兼顾一些安全检测的功能，对路由处理能力并不强。在实际的企业部署中，一般是不会在防火墙上去跑动态路由的。所以，学习防火墙，重点技术就是在安全策略，NAT，以及一些安全的配置还有防火墙双机热备上面。## 3、经验只可借鉴不可照搬防火墙位于网络的关键位置，特别是数据中心的防火墙。一般来说，在企业中运维防火墙的话，防火墙的变更操作会很多，一般都会在安全策略，ACL的地方进行变更操作。所以要玩好防火墙，技术之外的技巧，例如脚本技巧，文本技巧要大于技术之内。捷哥会给大家介绍一些如何去对一些陌生的防火墙厂商的快速上手技巧，大家可以灵活借鉴，但不可生搬硬套哦。还有呢，防火墙很多时候查看多余配置。对于进口防火墙来说，如何在全英文的界面下抓住重点，从查看到的内容中找到关键信息和关键参数，这也是需要一点点小小的技巧的。当然啦，大家不要只盯着configure，学会show和display也同样重要。

【防火墙你懂多少，三分钟带你通俗了解】