一. 防火墙的分类，

根据软硬件设备的实现方式，分为硬件防火墙和软件防火墙

根据实现机制  可以分为 包过滤防火墙  应用层防火墙  服务器型防火墙

二.  发展史，

第一代防火墙  与路由器同时出现采用包过滤技术

           第二代防火墙  贝尔实验室提出 电路层防火墙  也叫状态检测防火墙

           第三代防火墙  应用层防火墙（也叫代理防火墙）

           第四代防火墙  基于动态包过滤防火墙

           第五代防火墙   NAI 公司提出的自适应代理技术的防火墙

硬件防火墙的优点， 功能强大 明确为低于威胁而设计

                   比软件防火墙漏洞少

三. 思科防火墙技术应用的三个领域

    PIX 500 系列安全设备

    ASA 5500 自适应安全设备

    Catalyst 6500交换机  和 cisco7500 路由器的防火墙服务模块

四.ASA 的安全算法

  ASA 状态化防火墙， 用于维护一个关于用户信息的连接表 Conn 表

       包含 源ip 地址  目标ip 地址  IP 协议   IP 协议信息（端口号  tcp 序列号和控制位）

        默认对tcp和udp 提供状态化连接  icmp 为非状态化

       状态化处理过程

____________________________________________________________________________

          pc 发起一个http 请求  给web 服务器

          http 请求到达防火墙 防火墙将连接信息（源目标ip  tcp端口号）添加到conn表

          防火墙将请求转发给web 服务器

          web 服务器响应http 请求 返回相关数据流

          防火墙拦截后检查 连接信息和conn 表对比

             如果 conn 表中有匹配的连接信息  则放行

             如果conn 表中找不到匹配的连接信息  则丢弃

五.安全算法原理：  三个基本操作

    访问控制列表

    连接表

    检测引擎  （执行状态检测和）应用层检测，检测规则预先定义

        一个新的报文到达，首先检查访问控制列表的匹配，允许连接后 执行路由查询， 路由正确后使用状态连接表匹配，通过后在检测引擎的预定义规则。