安全区域：

前面提到了安全区域的概念，防火墙的安全策略是基于安全区域起效的，没有安全区域就没有安全策略

安全区域是本地逻辑安全区域的概念，是一个或多个接口所连接的网络

安全区域的分类：

Trust信任区域、UnTrust不信任区域，DMZ非军事化区域又叫隔离区、Local本地区域指防火墙本身的接口

安全区域与接口

防火墙允许存在两个具有完全相同安全级别的安全区域，但不允许同一个物理接口分属于不同的安全区域

文字不是很好理解，如图

防火墙每一个接口对应一个区域，不通接口对应的区域安全级别可以相同，比如图中0/0/0和0/0/1都是trust区域

值得一提的是，下图圈起来的地方，也就是接口本身属于Local区域，也只有接口本身可以属于Local区域

安全区域的方向

数据流的两个方向分别为Oytbound和Inbound

入方向（inbound）数据由低安全级别的安全区域向高安全级别的安全区域传输的方向

出方向（outbound）数据由高安全级别的安全区域向低安全级别的安全区域传输的方向

高优先级与低优先级是相对的

安全区域默认安全级别从高到低：Local trust dmz untrust

三、防火墙的功能特性

可以看到防火墙的功能十分多，也具备路由/wifi的功能，我们主要研究防火墙的安全功能

访问控制

防火墙的主要功能是策略和机制的集合

它通过对流经数据流的报文头标识进行识别，以允许合法数据流对特定资源的授权访问，从而防止那些无权访问资源的用户的恶意访问或偶然访问。实现访问控制的主要工作过程如下：

1.对于需要转发的报文，防火墙先获取报文头信息五元组，源/目IP源/目端口协议

2.将报文头信息和设定的访问控制规则进行比较。

3.根据比较结果，按照访问控制规则设定的动作，允许或拒绝对报文的转发。

ACL访问控制列表

防火墙中重要的表之一，ACL表中存放的是访问控制规则

防火墙的黑名单：可以实现IP的封禁

防火墙的功能

攻击防范（扫描、流量、畸形报文、特殊报文）

报文统计

基本上你上网干了点啥，防火墙都能看到，当然它只能知道你在发微信，但是不知道发的啥

深度检测技术：基于特征字的识别技术、基于应用层网关识别技术，基于行为模式识别技术

应用控制

SACG联动技术

双机热备

Link、QoS

防火墙的性能指标

时延：据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标，是用于测量防火墙处理数据的速度理想的情况

每秒新建连接数：指每秒钟可以通过防火墙建立起来的完整TCP连接

并发连接数：于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。

四、防火墙设备管理实验

因为这个实验比较简单，所以跟下一章的实验一块做了，只要做到进入web管理页面即可

……

以上，希望为你答疑解惑哦！