包过滤防火墙：基于五元组对每个数据包进行检测，根据安全策略进行转发或丢弃。通过ACL实施数据包的过滤。

状态检测防火墙：通过对连接的首个数据包检测而确定一条连接的状态。后续数据包根据所属连接的状态进行控制，转发或阻塞。

AI防火墙：结合AI算法或AI芯片，内置多种平台，如检测引擎CDE、诱捕Sensor、APT检测引擎和内置探针等。

防火墙基本概念

五元组：源目IP、源目区域、协议类型

安全区域：

一个安全区域是防火墙接口所连网络的集合，一个区域内的用户具有相同的属性。

防火墙共有4个默认区域：   不可删除、不可修改的

trust    ---85

untrust     ---5

local     ---100    默认都是local

DMZ     ---50

也可以自定义创建区域。

防火墙正常工作前提，必须要给接口配置安全区域。

防火墙的接口永远只属于local区域，而配置的安全区域是指，这个接口连接的网络为什么区域，而实质并非接口本身为什么区域。

在思科中，高优先级访问低优先级是不需要任何策略的，默认可以访问，但是华为需要定义策略。

安全策略

安全策略是控制防火墙对流量转发进行安全检测的策略。

防火墙收到流量之后，对流量的属性（五元组等等）进行识别，然后与安全策略进行匹配。匹配成功，被执行对应的动作。

安全策略默认有一条拒绝所有，在最后一条。

案例：

如图，在防火墙上配置了安全策略：trust-zhangsan区域的策略，那么PC1就可以访问PC2了。

但是有个疑问就是：为什么不用配置zhangsan-trust区域的策略？原因是因为在PC1访问PC2时，防火墙检查了策略是放行的，那么防火墙就会创建一个会话表，然后PC2给PC1回包的时候发现防火墙有会话表，查到了PC1去访问PC2的会话表，那么就可以防火墙就默认放行了PC2访问PC1的数据包。但是要注意：这仅仅是PC2回包给PC1，不代表PC2去直接pingPC1。实际上，PC2仍然ping不通PC1。

会话表

会话表是用来记录TCP、ICMP等协议连接状态的表项，是防火墙转发报文的重要依据。

会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP等报文时都需要查询会话表，来判断该报文采取什么样的措施。

多通道协议的问题

单通道协议：通信过程中只需占用一个端口的协议。如：WWW只需占用80端口。

多通道协议：通信过程中需占用两个或两个以上端口的协议。

FTP协议是一个典型的多通道协议，在其工作过程中，FTP Client和FTP Server之间将会建立两条连接：控制连接和数据连接。控制连接建立好之后，再根据数据连接的发起方式建立连接，FTP协议分为两种工作模式：主动模式（PORT模式）和被动模式（PASV模式）。模式在一般的FTP客户端中都是可以设置的，这里我们以主动模式为例。

FTP建立了控制连接之后，数据连接无法连接。这就有了ASPF（应用层包过滤功能），ASPF功能可以自动检测FTP控制连接中协商的数据连接端口信息，然后生成Server-map表。

Server-map表项包含了FTP控制通道中协商的数据通道的信息。防火墙为命中Server-map表的数据创建会话表。