1.上课思维导图
2.防火墙演示实验
防火墙FW1:原用户名:admin 原密码:Admin@123
配地址:<USG6000V1>sy
[USG6000V1]int g0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.18.2 24
打开所有权限[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
配路由地址
在浏览器进行打开192.168.18.2(我这里配的为192.168.18.2)
配置接口1/0/0以及1/0/1接口
自定义区域:安全区域-新建-名称
配置1/0/0以及1/01示例:
路由:
做策略{PC1到PC2}
查看互通性 
3.问题回答
(1)什么是防火墙
防火墙 指的是一个由软件和硬件设备组合而成、在 内部网 和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它的本质就是控制和防护
(2)状态防火墙工作原理
数据包过滤:状态防火墙通过检查传入和传出网络数据包的源地址、目标地址、端口号和协议等信息,根据预先设定的策略来确定是否允许数据包通过。这个过程被称为数据包过滤,可以阻止不符合规定的数据包进入或离开网络。
状态跟踪:状态防火墙会跟踪网络连接的状态以及与之相关的数据包。当一个数据包通过防火墙时,它会被检查并建立一个相关的状态记录。随后的数据包会受到这个状态记录的约束,只有符合该连接状态的数据包才会被允许通过。
访问控制:状态防火墙允许管理员定义不同的访问策略,以确保网络只允许特定的数据包通过。管理员可以根据需要设置允许或禁止特定的IP地址、端口号、协议或应用程序等进行通信。
NAT(网络地址转换):某些状态防火墙还提供NAT功能,可以将私有网络内部的IP地址转换成公共IP地址,从而隐藏内部网络的结构和具体IP信息,提高网络安全性。
(3)防火墙如何处理双通道协议
双通道协议在网络通信中使用两个独立的通道进行传输,常见的双通道协议有FTP、SMTP、DNS等。防火墙在处理双通道协议时需要考虑以下几个方面:
状态跟踪:防火墙需要跟踪双通道协议的状态,包括建立连接、传输数据和关闭连接等过程。通过状态跟踪,防火墙可以知道哪些数据包是属于同一个连接的,并可根据事先定义的策略决定是否允许通过。
动态端口管理:双通道协议通常使用动态端口进行通信,其中一个通道使用固定的端口进行监听,而另一个通道则使用动态分配的端口。防火墙需要在安全策略中允许动态端口的临时开放,以确保双通道协议的正常通信。
协议解析:防火墙需要能够解析双通道协议的数据包,以获取协议特定的信息并执行相应的安全检查。例如,对于FTP协议,防火墙可能会检查文件传输命令以及相关的数据传输请求。对于SMTP协议,防火墙可能会检查邮件的发送和接收。
应用层代理:在某些情况下,防火墙可能需要充当应用层代理,对双通道协议进行深度分析和过滤。应用层代理可以检查协议中的各种参数和内容,并对其进行相应的处理和过滤,以保护网络安全。
