防火墙学习D1

一、定义：

位于信任程度之间的不同的网络之间的设备。

二、分类：

包过滤防火墙：类似路由器、利用ACL进行管理。

代理防火墙：相当于客户机与服务器直接的代理节点。为中间节点，并未商用。为每种程序做开发节点，实现困难。

状态检测防火墙：匹配session的会话。

三、局限性：

1.防外不防内

2.不能防范全部的威胁，特别是新产生的为威胁

3.提供深度检测功能和处理性能上需要平衡

4.使用端对端的加密时，既有加密隧道穿越防火墙的时候不能处理

5.防火墙本身可能会存在某些瓶颈，如抗攻击能力，会话数限制等。

四、防火墙的区域

trust（85）、UNtrust（5）、DMZ（50）、用户自定、 vzone（0）、local（100）

五、ospf DR/BDR选举规则:

当选举DR/BDR 的时候要比较hello 包中的接口优先级(priority)

（1）优先级最高的为DR,次高的为BDR.默认优先级都为1

（2）在优先级相同的情况下就比较RID,RID 等级最高的为DR,次高的为BDR

六、

静态NAT：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,多用于服务器。

PAT：把内部地址映射到外部网络的一个IP地址的不同端口上