添加網關，將自動生成一條指向網關的缺省

這里管理的優(yōu)先級高于安全策略，安全策略未放通，但是，這里勾選，則可以正常訪問

分區(qū)?

接口默認的是trunk干道

4.防火墻區(qū)域類型：

Trust---信任區(qū)

Untrust----非信任區(qū)

Local---防火墻所有接口都屬于這個區(qū)域

DMZ-----非軍事化管理區(qū)域---放置一些對外開放的服務器

注意：將一個接口劃入某一個區(qū)域時候，則將這個接口所連接的網絡劃分到對應的區(qū)域中，而接口本身永遠屬于屬于local區(qū)

優(yōu)先級---·1-100----1.從優(yōu)先級高的區(qū)域到優(yōu)先級低的區(qū)域----出方向---outbound

?????????????????? 2.從優(yōu)先級低的區(qū)域到優(yōu)先級高的區(qū)域----入方向---inbound

5路由模式

6.配置防火墻步驟

1. 接口Ip地址，區(qū)域劃分
2. 寫內網的回報路由
3. 安全策略
4. 內到外的NAT
5. 服務器的映射

7.透明模式

1. 接口配置vlan,以及區(qū)域劃分
2. 安全策略
3. 增加設備的管理接口，用于控制管理設備以及設備的自我升級

8.旁路檢測模式

混合模式：

9防火墻的安全策略

傳統(tǒng)的包過濾防火墻技術---其本質就是ACL訪問控制列表，根據數據包的特征進行過濾，對比規(guī)則，執(zhí)行對應的動作。

這里數據包的特征---數據包的五元組---源ip，目標IP ，源端口號，目標端口號，協(xié)議。

在安全策略中，可執(zhí)行三個模塊的內容，第一模塊對數據流量進行抓取第二模塊做訪問控制，允許或則拒絕通過；第三模塊是在允許通過的情況下可以進行內容安全的檢測，一體化檢測。

所有匹配項之間的關系都是“與”（必須滿足所有的條件才會執(zhí)行），一條中如果可以多選，則多個選項之間的關系為“或“關系

10防火墻的狀態(tài)檢測和會話表技術

主主要機制是以數據流作為單位，僅僅針對首包進行檢測，檢測之后，將數據包特征記錄在本地會話表中，之后，之后數據流中的其他數據包來到防火墻中，不再匹配安全策略，則匹配會話表，根據會話表進行轉發(fā)。

回來的數據包會被檢測是否符合協(xié)議定義的后續(xù)報文要求

1. 會話表技術
2. 狀態(tài)檢測技術

會話表技術---是提高轉發(fā)效率的關鍵----老化機制

1. 會話表老化時間過長---占用資源，會導致一些會話無法正常建立
2. 老化時間過短---或導致一些需要長時間發(fā)送一次的報文強行終止，影響正常業(yè)務。