防火墙将内部网和公众访问网分开

防火墙 就是一种特定的规则  容许和限制数据的通过 主要在网络层

防火墙 硬件 和软件结合 将内网 和公众访问网分开 是一种隔离技术 容易被穿透  是单向 注意反向链接

数据包经过这里 拆包 查看ip地址 mac地址 是否属于白名单 黑名单之中

nat 吧内网的地址映射到外网

ip 和mac地址绑定 就可以不一不会出现arp地址估计

根据要求 细节配置 最小权限分配

作用 访问控制以及安全

防火墙：

1. 主要应用于边界安全防护的权限控制和安全域划分（内部区域和内部区域之间，内部区域与外部区域之间）
2. 透明模式，旁挂模式，路由模式。

防火墙Firewall

 网路层的防护设备，由软件和硬件设备组合而成，在内网和外网之间、专用网和公共网之间的界面上构造的保护屏障

下一代防火墙，即Next Generation Firewall,简称NG Firewalls，是一款可以全面应对应用层威胁的高性能防火墙，提供网络层应用层一体化安全防护。带宽很高

防火墙主要用于边界安全防护的权限控制和安全域的划分，是指一种将内部网和公众防问网分开的方法，他实际上是一种隔离技术。

最小授权原则调整，不仅要设置IP，还要调整防火墙里面的策略

防火墙的三个部署模式：

透明模式有一进一出

单臂模式（网关模式）所有数据经过他才能访问

路由模式：外网和内网之间，动态拨号，静态IP配置，安全域划分都可以

VPN有三种，分别是IPSec VPN（所有资源都能访问到，但是需要下载一个客户端远程访问），SSLVPN（只能访问WEB的资源，）

L2TP VPN三种，常用的是前两种

《防火墙》

（Firewall）是一个由软件和硬件设备组合而成（纯软件或软硬件组合），在内部网和外部网之间、专用网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。（网络层）

（与网闸工作层面不一样）

（下一代防火墙）：高性能，不止针对网络层（3）还提供应用层（7）的防护。

主要用于边界安全的防护实际上一种隔离技术。功能有限，易被穿透。对外不对内。还可以隔离内网中各个专用网，有效控制病毒传播。

透明模式

单臂模式

路由模式：代替路由器进行工作

原理：对网络数据包进行拆包，看IP是否在白名单中，决定是否通行。

NAT:把内网IP地址映射到外网（为什么？？）

VPN:IPSec（所有资源可访问）,SSL(WEB)

负载均衡

重在策略：协议行为策略，

状态：启用或禁用。阻止方式：允许或拒绝

若要某两个安全域不通信，通过策略配置实现。

还有攻击防护功能。

ARP防护：ARP和MAC绑定

会话限制、URL过滤、拒绝含某些关键字的网站、拒绝外发信息、查看外发信息等

还可以查看日志……