区域隔离，以防火墙的接口为中心定义区域，在防火墙中不同区域互访使用策略来进行控制

NGFW，下一代防火墙，除了是否对他通过进行判断，也可以对安全进行判断（例如是否是病毒，DDOS攻击），有了模块还需要买授权才可以使用，既能保证流量的通过，也要保证不安全的流量不能通过

防火墙的区域可以自己定义，与广播域、VLAN这类区域没有任何关系

安全诉求：外部网络安全隔离，内部网络安全管控，内容安全过滤，入侵防御，防病毒

为什么病毒越来越少了？因为360开始免费，之前的病毒一般是杀毒软件公司制作的，然后自己的杀毒软件可以杀掉，因此来赚取利益

普通电脑入侵的价值：灰产，家用电脑可以抓肉鸡，首先往电脑里装某个公司的软件，赚取公司的利益，或者卖给DDOS攻击的用户

防火墙根据设备形态分为：框式防火墙，盒式防火墙，软件防火墙，云计算防火墙（防火墙过少，使用软件防火墙，设备先将流量甩给防火墙，防火墙过滤后再给主机）

路由器的功能：IP编制寻址、异类网络的连接，路由表通过计算生成的，需要用到CPU

交换机：实现快速转发，三层交换机也是一次路由，多次转发，需要用到转发芯片

防火墙：NAT，可以流量控制和安全防护，区分和隔离不同的区域，多了一个SPU（安全的服务单元）

防火墙的发展历程

最早基于访问控制：ACL，每过来一个包就需要查一下

基于状态监测：基于五元组，看一下第一个包五元组，后面的包就不用监测

基于ASIC：提高了芯片转发

UTM统一威胁管理：来了数据包，一个模块一个模块的检测

多核+分布式架构：可以做集群

NGFW：下一代防火墙，把包拆掉过完所有模块检测功能，然后再合，一次解封，多次检查

AI防火墙：之前的防火墙是基于特征库进行检查，AI防火墙是AI检查（例如正常情况下是点击进入的网页，而黑客是直接输入了URL进入的网页）

防火墙的分类

包过滤防火墙：基于五元组对每个数据表进行检测（源地址，目的地址，端口号，协议，动作）

状态检测防火墙：考虑报文前后的关联性

AI防火墙：探针，把攻击报文交给CIS系统，也有蜜罐诱补系统，也有专门的沙箱负责运行不确定的程序，策略也不需要人为配置，CIS系统会自动下发

区域定义

防火墙默认有四个区域：Trust（信任区域）、untrust（非信任区）、DMZ（军事停火区域）、Local（本地区域）

防火墙的接口能够正常工作，接口必须要配置区域，任何情况下防火墙不配置区域是无法工作的

防火墙的所有接口永远属于Local区域

一个接口配置了DMZ区域，指的是这个接口连接了DMZ区域

安全区域，简称为Zone，防火墙大部分的安全策略都基于安全区域实施

对于Cisco的设备，流量从高优先级区域往低优先级区域走是不需要策略，直接放行。

对于Huawei设备，流量从任何区域到任何区域都需要策略

安全策略，是控制防火墙流量转发以及对流量进行内容安全一体化检测的策略

会话表的产生

会话表是有老化时间的，修改老化时间非常长的话称为长连接

ASPF，应用层包过滤功能，放行策略的时候，可以判断出是一个FTP协议，会触发ASPF的功能，会去读ABCDEF的信息，读完之后，就可以知道要开哪个随机端口要和对方的哪个端口进行连接，这个时候会生成一个Server-map的表项，设备会根据这个表项直接生成会话

1.登录
username:admin
password:Admin@123
连线的时候不能连接防火墙的G0/0/0口,这个口用于管理防火墙

2.区域添加接口
firewall zone trust	进入到trust区域
add interface g1/0/0 将g1/0/0添加到区域

3.新建区域
firewall zone name dalong  新建一个dalong的区域
set priority 25    给区域配置优先级
add interface g1/0/1    添加接口，策略表的最后一条是拒绝所有

4.配置策略
security-policy			配置策略,使用五元组定义
rule name t2dalong 
source-zone trust
destination-zone dalong
source-address 1.1.1.100 32
destination-zone 2.2.2.100 32
service icmp 
access-autication permit  放行

5.会话列表
发出去的报文做记录，回来的话也放行
dis firewall session table
dis firewall server-map

6.web界面
int g0/0/0
ip add 1.1.1.1 32
service-manage all