5ebox防火墙设置教程

nuomo razzin 下来就是一个防火墙的概念，很简单，防火墙咱们就简单了解一下就可以了，一般情况下搁这里告诉大家， 大家现在就可以把你的防火墙关掉了，后面会设计很多的网络操作，都是一些不常见的端口，默认防火墙是会拦截这些不常见的端口，所以尽早咱们就把什么防火墙给关掉。这里搜一下防火墙， 或者说防火墙咱找到控制面板也可以控制面板，控制面板来到控制面板找一下 windows 防火墙， 这里有一个起用或关闭，把这些防火墙咱们都关掉，这里 windows 防火墙有一个起用或者关闭就可以了。后面我们会涉及到很多的网络连接，有一些大的端口工具使用，如果你的防火墙没关，会有问题，会连接不到。我们下来简单说一下防火墙， 王永强默认刚刚说过了，他都会拦截一些大的端口，进来的流量他是分进来跟出去的，什么叫进来？从外部连接我们的流量叫进来，我们主动去连接对方这个叫出去的流量， 出去的流量一般是不拦截的，你想连接什么他都不拦截，但是进来的流量他会有什么过滤的规则？ 一些大的端口，不常见的端口都会拦截掉常见的端口，什么叫常见的端口？比如说幺三五四四五了、 八二零了、四四三了、三三零六这些他不拦截，这是常见的应用程序和服务使用的端口，也就是一些主流软件，主流的服务，他都不会拦截，但是你要说具体他是有哪些端口，这个老师谁也说不上来， 这个 windows 每个版本都不一样，而且他也经常有更新，我们也无法确定。最常见的方式就是直接关掉。入站，就是别人发给你的流量。出站，就是说咱们主动发出去的流量，比如说你在浏览器里输入三 w 点百度，然后干什么访问一个上网，那他就是一个什么 出去的流量，进来的流量就是谷歌接收到你的响应以后，把他的页面返回给你，这个就是入站的流量。咱们请求一个网页，他是有出还有入，你光访问他不行，他还得给你把你想访问的东西返回回来，是一个双向的。能理解老师的意思是一个双向的， 比如说你想上网查资料，输入三 w 百度点 com 或者谷歌，那这个时候有一个流量出去，什么流量？请求网页的流量，那么谷歌他在接受到你的请求以后，他还要回复你，不回复你，那就是什么你拿不到这个页面， 这什么入站的流量数据进我们家的这个叫入站流量，流量必须是双向的，一去一会，一去一回，这个流量他才算什么？或者说这个连接才算结束。你不能说光请求出去了没有回来，那这不行， 游戏流量它是不需要回报的，就比如 i c m p， 刚刚咱们的拼命力也不需要回报，不回报也是可以的，因为说有些时候回不了包，比如说网络打不了， 他就回不了报。光火强他是可以配置一些规则的，比如说方向是入站还是出站，比如说协议、 tcp、 udp、 smp， 还有什么特定的端口，你想拦截某个端口的入站或者出站对不对？你就可以配置，是允许还是拒绝？ 对不对？什么与来源的 ip， 与目标为目标的 ip， 他 都可以配置，这个我们简单了解一下就行，告诉大家在哪里配置就可以了，大家也没这个需求，后面我们学习也没这个需求， 只需要关掉就可以。这里后面大家有兴趣可以去看看，用虚拟机去试一试。这个我们就不演示了，很简单的一个东西。

玩乐克王国明明点了启动游戏，却加载半天进不去，必须要等个十多分钟才能进去，不知道大家有没有遇到过这种情况，经过评论区大佬指点，我也是找到解决的方法了，今天分享给大家，就是关闭防火墙。第一步，打开电脑的搜索页面，输入控制面板， 点击进入。第二步，进入后找到系统和安全，点击进入。第三步，找到 windows defender 防火墙，点击进入。第四步，点启动或关闭 windows defender 防火墙。第五步，进入后勾选关闭 windows defender 防火墙，这两个都勾选一下， 然后点确定，这个时候我们再重新启动游戏看看， 现在可以正常启动游戏了。进入游戏后，我们把防火墙重新开启，防止有黑客攻击我们的电脑，如果你的电脑不关机的话，操作这一次就行了，关过机可能要重新关闭防火墙再进入游戏，也不要嫌麻烦，总比干等十多分钟强。

由于视频太长，本套视频分为二十期发布，为了让零基础小伙伴学习起来没有负担，课程中配套资料以及我整理的全套学习资料，对零基础超有帮助的职业规划，学习规划，敲六六六， 需要的即可全部带走，视频制作不易，还请支持一下，感谢大家。接下来我们开始网络排错案例的学习吧，这是一个防火墙安全区域未配置的一个错误案例啊， 大家都知道啊，我们的防火墙必须要划分安全区域才能工作，如果说你没有把对应的接口划分安全区域，那么你其他内容做再好，只是防火墙呢？他也是不不会转发数据的啊，因为他是基本安全区域来工作的。好，那首先我们来登一下防火墙啊， 这是一个空配的内容啊，的命， a 大 写的命，艾特一二三 a 大 写的命艾特一二三 h 大 写华为 at 幺二三 h 大 写华为 at 幺二三。好， 登上去之后呢，我们来说个这个架构啊，这一块是属于我们的内网，一块是连接运营商的网络，就是 l e 是 运营商，运营商有一个有一个地址嘛，是外网的地址，我们 f w e 是 作为我们的出接口。 好，那么我们在工作中去部署防火墙的时候，我们一般来说是使用的是 web 界面的方式去配置的啊，这里呢，我用这个云去桥接过去的啊，我们在防火墙这里给一个同网的地址，路由器零杠零零端口 ip address 是 幺九二点幺六八点幺四五点二，我们把 h t t p s。 给它打开好，不行之后 t t p s。 打开了啊， 来，我们把 pink 的 也放行啊，这个时候我们登上界面啊，我们这个地址是幺四五点二，我们在这里输出 h t b s 杠杠，一九二点幺六八 点幺四五点二。好，我们的默认短格号是八四四三啊，默认短格号是八四四三。好，那这个时候我们进了这个房屋的 web 界面啊，好，此时我们需要登录一下啊，用户名是 id 命， 刚刚的用户名一样的密码是我们改后的密码。 h， 大 写华为爱的幺三。好，那么我们就登上这个界面了啊， 好，现在呢，我们是需要给它划分安全区域的吗？我们就是领口，领口，首先我们看点啊，呃，这里会有一个网络啊，我们把对应的接口都描述出来，那么零，杠零，杠零，你看一杠零杠零， 我们把它放在外网嘛，那么 on trust 区我们也可以给上一个地址嘛，这里可以静态给地址嘛， 是六十四点一点一点一，来，我们来编辑一下，六十四点一点一点一。好，我们确定地址也给好了。一杠零杠，一端口呢，我们放在 trust 区里面，放在 trust 区里面，我们这里也给上一个地址啊，这个地址是一七二 二点幺六点一点零二十四。好，我们去领一下。这个时候呢，房屋产权真正的把我们的区域去划分。好啊，如果说你不划分区域的话，你这个地址配了呀，或者是干嘛了，你都是没有没有用的啊， 这就是我们一个房屋产权区域未划分的一个案例情况啊。

好，然后呢？呃，在我们去进行流量过滤的时候，我们需要去做一些安全策略，那么安全策略是指控制防火墙的流量转发，以及对流量进行一些内容安全一体化的检测策略 啊，那当防火墙收到流量之后，我会对流量的五元组信息、用户信息时间段进行一个识别啊，然后 与这个安全策略的条件应匹配，如果说匹配则执行相对应的动作啊，那这里边的五元组其实也就是我们刚在讲这个包括率的时候，是不是有一个原木 ip， 原木端口以及协议啊？对不对啊？那当然这里边也是一样的，你的安全策略也可以去写啊，这些五元组信息以及什么呢？你的用户啊，你的用户啊，然后你的时间， ok， 这个原主信息以及这些东西你都匹配完了之后啊，我会去执行这个安全策略的动作，有允许或者说拒绝。那这这里边我们有一个安全策略是什么呢？原 ip 是 幺九二点幺六八点一点零，目的 ip 是 any， 对吧？那是什么意思啊？当你这个办公区啊，幺九二点幺六八点一点零，这个办公区想要去访问 trust 区的话， ok， 那 你的原 ip 不 就是幺九二点幺六八点一点零吗？对不对？目的 ip 有 没有匹配呢？ any， 就是 所有的任意的都都行，对不对？那我是不是匹配了这个安全策略，那我的动作是什么？允许，那我就可以进行一个数据访问了，那对于下面这个研发区，他是二零网端的，能匹配吗？ 不能匹配，不能匹配，默认情况下我的安全策略是拒绝的。 deny， ok 啊，那流量就不能访问， ok， 那 这个安全策略的一个组成啊，分为以下三个部分。首先第一部分是条件 啊，条件有什么呢？什么对应的 vlan， 然后五元组信息啊，五元组信息，你看有原木 ip 啊，原木 ip， 原木安全区域啊，然后还有什么原木端口这些东西， ok 啊，那这个都是匹配的条件，然后你还对于这个防火墙而言，你还可以去匹配你的用户，你的服务，你的应用 啊，你的 url， 你 的时间段，这些东西咱们都可以去匹配，那么这这个就是条件 ok， 那 条件匹配完了之后，当你流量匹配了这个条件， 对吧？如果说匹配了，那我就去执行。哎，这个安全策略里面的动作，那到底是允许还是拒绝呢？如果是拒绝是禁止的话，我就怎么样直接丢弃。如果是允许， ok， 那 我再去查找这个防火墙当中的安全配置文件， 那对呢？安全配置文件你这个是可选的，好吧，那会对你的这个里边的数据进行一个防病毒入侵检测， u r a 过滤，然后文件过滤、内容过滤啊，应用行为控制，邮件过滤啊，以及 dns 过滤等等。 ok， 也就是说他可以去啊，除了去匹配这些流量之外，执行动作之外，我还可以对你这个流量里边的一些应用层的一些数据进行一些过滤啊，或者防病毒或者防木马都可以，好吧， 啊，那这个是安全策略的一个组成啊，那对于安全策略的一个匹配过程，我们的匹配顺序它是由上往下的，是由上往下的， 如果说流量匹配的某一个安全策略，就不再去匹配下一个安全策略，而什么意思呢？这个就类似于 sl 一 样， 你 sl 是 不是有很多条规则啊？我匹配的第一条规则，我还会不会往下面表演？不会，对不对？比如说我 sl 有 三个规则， 一个十，一个二十，一个三十啊，然后第一个规则是 prometheus， 假如说我一个原 ip 是 幺零点一点点一，它匹配的第一条规则，那动作是 prometheus， 然后第二条规则它也可以去匹配幺零点一点零，而动作是订单， 对吧？那我如果说我 excel 匹配了第一条规则，把这个幺零点一点点一的流量匹配到了，我还会不会去看第二条呢？不看了 啊，不看了。 ok， 这个安全区域的匹配过程跟这种 a、 c、 l 的 很像啊，很像。在我们的防火墙当中，我们可以去创建多个安全策略，咱们进去看一下啊，在这里边是不是有策略啊？对吧？好，你想要去添加 安全，这里你在这里添加就可以了，然后名字一二三，名字一二三，然后呢？对应的这里边你可以选什么原木安全区域？ 比如说我 local， local 到 trust。 ok， 这里边你可以选原木 ip 地址啊，可以写原木 ip 地址。好，这里边我就没写了，你可以去做什么内容的一些安全？那如果说你匹配前面这些参数之后， ok， 动作是允许，那下一步我就要去匹配内容安全啊，看你这个发送的数据里面的内容是不是正常的，如果说不是正常，照样不会转发，如果是正常的就转发。好，确定好，现在就匹配的这个，我们就创建第一条安全策略，对不对啊？你再去创建一条， 比如说一二三四啊，我们现在原是 trust， 目的是 and trust。 ok， 好， 然后呢？动作是静止啊？动作是静止。好，你看后面那些什么，你动作如果是静止的话，你后面这些内容完全就不会看了，看到没确定。 现在呢？我是不是一二三在第一条，然后一二三四在第二条啊？那这个时候可以怎么办呢？我可以去这个移动啊，我要看一下这个移动在哪里啊？移动 啊，可以把它做一个移动吧，向上移动，或者说你可以把它向下移动，向上移动就是说首先会去看一二三四这条是否匹配，如果说没有匹配，我才会去匹配一二三这条安全策略。 ok， 好， 这个是不是跟 excel 的 这个匹配原则是一模一样的，对吧？好， 那对于这个默认的规则，我们就是拒绝所有，好吧？也跟 s l 在 匹配这个啊？路由文调么？那一块是不差不多的，对不对啊？那这个是我们防火墙的这个匹配过程啊。

由于视频太长，本套视频分为二十期发布，为了让零基础小伙伴学习起来没有负担，课程中配套资料以及我整理的全套学习资料，对零基础超有帮助的。职业规划，学习规划，敲六六六， 需要的即可全部带走，视频制作不易，还请支持一下，感谢大家。接下来我们开始网络排错案例的学习吧，我们看一个安全策略的一个错误案例啊，我们写这个安全策略的时候会有一个要注意一个顺序啊， 比如说现在呢，来说啊，我 pc 一 想访问我们的外网啊，那么这个时候因为我们之前区域做了吗？我们把地址给一下， 地址呢，我们这里也可以用外部界面去点一下啊。路由呢，你也可以自己去写啊，比如说我们写个静态路由去新建，我们吓一跳，是六十四点一点一点六，六十四点一点一点六， 好，我们点击确定，这是有个末路由嘛，那么对于 f w e 就是 有条末路由去了嘛。好，此时你访问外网呢，是需要部署 n a t 的 啊，此时访问外网是需要部署 n a t 的 啊，我们这里可以做一个。 net 策略啊， 啊，那个侧面我们可以新建，比如说我们这里是访外网，我们写出接口，这里我们都填默认啊，用出接口的地址啊，我们点击确定。好，我们点，那么这个时候就会有一个，有一个，那 n e c， 我 们这个时候安全策略也需要放行一下，我们可以去新建嘛， 这里随便取个名字啊。好，我们把这个你就写成允许啊，动作是允许啊，那么这就会匹配到所有东西为允许吗？ 好，这个时候呢，我们在 pc 上，我们可以给一个地址啊，比如说我们的 pc 地址是一七二一七二点幺六点幺零点一百二五点二五一七二点幺六点幺零点。 我们的网关是一啊，这个时候我们去访问一下啊，二百点二百点二百点二百。 那这个时候不是因为我这里不跑 k t 嘛，就相当于我们防火墙把我们做了一个一 z i p， 并且把我们访问到了互联网嘛？ 好，那比如说我们做访问的时候呢？比如说我希望 p c r 的 地址是 pc 两百，那么它是不通的。这个时候我们会当我们去写一个策略的时候啊， 来新建策略。这个时候我们再做一个啊，比如说拒绝我们 p 三的地址，那么这个时候呢？我们写一个原地址，原地址。比如说我们写幺九二点幺六八点十点两百，原地址啊， 好，就写这个地址。好，我们这里点一个禁用，禁用动作是禁用，我们确定那这个时候会有一个拒绝吗？对不对？那这个时候呢？我们这个时候呢，当我们去访问，比如说你看我们的 pc， 这是幺九二点幺六八点十点两百二五，那么我们的网关是幺九二点幺六八点十点一，我们现在去访问一百点二百点二百点二百的时候，这样啊，十点两百，这是一七二，我们点错了啊， 一七二点幺六点十点两百，我们这是一七二七二点幺六点十点一。好，我们再拼一下啊，这里是幺六八一七二点幺六八，拼一下，我们是一七二点幺六啊，一七二点幺六七二点幺六，我们点应用一下啊，那这个时候我们去拼东西的时候啊， 一个发现两百也依然能通了，两百依然能通了，那为什么当我们写这个策略呢？没有任何作用呢？ 是因为对于所有的安全策略而言啊，他会先看上面这一条，因为你上面条是允许所有人过了，所以此时你需要把小范围的放在前面， 那么对这一条需要移动到顶端啊，先看这一条，因为这条是放行所有的，此时我们再去拼图的时候啊，我们再看一下啊，第一个 是禁止我们点编辑一下，我们看一下啊，原地址是幺九二，这是幺六，我点错了啊，我看到幺六八了啊，幺九二点幺幺幺七二点幺六点十点两百三十啊，你们要注意一下啊， 一七二点幺六，一七二点幺六点十一，再看一下啊，一七二点幺六点十点两百，是不是我把它看错了吗？啊？那这个时候我们再拼一下是不不通了， 所以说这个顺序是比较关键的，你看如果说我把这一条再去置顶，到时候你就发现又通了，所以说我们要把小范围放前面，范围大的啊，要放到后面， 这就是我们的一个关于安全策略的一个顺序的一个案例啊。

今天五分钟带你了解 web 应用防火墙 waffe， 你 的网站每天面对海量访问，如何分辨谁是正常用户，谁是恶意攻击者？ waffe 就是 这道超级安检门， 它通过监控、过滤和拦截恶意流量，保护你的 web 业务安全，让正常访客丝滑。通过对攻击流量精准打击。 二零二四年，硬件瓦夫市场规模达到二十一亿元，同比增长百分之二十三点二、攻防演练、实战对抗、信创、国产化、存量替换三大引擎持续发力。 但二零二五年市场出现转折，硬件瓦夫专项采购项目数量下滑约百分之十一。为什么？ 第一，核心市场趋于饱和，政府、金融等重点行业经过多年建设，硬件 webf 部署已相对完善，新增空间收窄。 第二，云 webf 开始分流，混合部署成为新趋势。云 webf 处理弹性流量，硬件只守核心场景，单一硬件采购需求被稀释。 第三，采购模式集约化，大客户通过框架协议打包多年需求，单年度项目数量自然下降。这不是硬件瓦弗不行了，而是市场从增量扩张进入存量争夺。那么，传统的瓦弗靠什么？靠规则库？ 就像这个机器人，拿着一本厚厚的字典，来一个请求就翻一页，效率很低，还容易误报，把正常的业务也给拦住了。但现在不一样了， 比如以长亭科技为代表的新一代 waif 就 用上了语义分析技术，它不再死记硬背规则，而是像语言专家一样，理解攻击代码的语法和逻辑，看穿真正的意图。 即使面对零倍漏洞，那些还没有被发现、没有规则的新型攻击语义分析引擎，也能通过理解代码行为，实时识别并拦截，这就是降维打击。如果说智能检测是让瓦夫防御更聪明，那么接下来我们要说的则直接改变了游戏规则。 瑞树信息提出的动态防御，让你的网站不再是固定靶子，黑客带着自动化工具来攻击。但就在他伸手的瞬间，网站结构突然变形， 变成了一个不断变化的迷宫。通过隐藏代码，动态变换的应用结构，让攻击路径无法预测，那些靠脚本运行的机器人，爬虫撞库攻击全部失效，攻击成本指数级上升。这就是从被动防御到主动防御对抗的跨越。 让我们来看看瓦弗的发展。现在行业谈的已经不仅仅是瓦弗了，而是 w a a p。 外部应用与 api 保护， 它是 waft 的 终极净化板，它可以集成 api 安全保护接口，不被滥用。加入了抱特管理对抗自动化攻击，整合了 ddos 防护，抵御海量攻击，从单点防御到全面守护， 就像这个能量护盾，保护的不再是一扇门，而是一整座数字城市。你所有的应用、 api 和数据。在这个零队满天飞的时代，安全不再是成本，而是业务的底座。选对瓦夫，不仅保平安，更能保住你的业务连续性和发际线。

搭建防火墙公司有几个重要的关键点，你一定要记住，很多老板在网上看了一些视频之后呢，就注册了防火墙公司，结果都搭建错了， 用了有限合伙企业做防火墙公司，我一看都吓坏了，防火墙公司怎么可能是有限合伙企业呢？有限合伙企业承担的是无限连带责任。那搭建防火墙公司用什么样的公司来搭建呢？在兴隆法之下，还不会出现股权穿透的风险。 第一个呀，防火员公司必须得是有限责任公司。第二个呀，防火员公司注册资本金一定要实缴，不能五年内再实缴。第三个呢，防火员公司注册资本金呢，不能太大，如果你实际做业务公司注册资本金是一千万，那么防火员公司注册资本金呢？一百万就足够了。第四个呀，防火员公司不要控制多家做主体业务的公， 因为现在新的股份法之下有个横向穿透，如果防火墙公司控制了多家的主体经营公司，出现横向穿透风险会大一些，这是防火墙搭建中的很重要四个关键点。如果你想搭建防火墙公司，我建议各位老板老板娘可以看一下下方我这个三十九的股权架构课程， 课程里会给大家讲到防火墙公司该如何去搭建，在搭建的时候，防火墙公司的名称该怎么起，注册在哪里？谁来做防火墙公司的 股东？那还有就是我的公司已经经营好多年了，怎么再来搭建防火墙公司的股东？那还有就是我的公司已经在新的股份法之下，如何防止股权被穿透的问题， 那同时今天下单学习，老师还会给他专门赠送上我的才秀直播课，和大家在搭建防火墙公司的时候所需要的股权协议模板。同时大家在学习课程当中或者是在搭建股权架构的时候有什么问题可以来咨询，老师会给他来答疑。那需要老板们点击下方链接领取学习吧！

一说起网络安全，你脑子里第一个跳出来的词，八成就是防火墙，对吧？他就像咱们数字世界里一个特别忠诚的保安，但是你想过没有，万一碰上那种顶级的黑客，这个保安 可能就不太够用了。所以啊，今天咱们就来聊一个更狠的角色，一个更硬核的守门员，他叫网炸。这东西在网络世界里差不多就是绝对防御的代名词了。 所以啊，咱们就得问自己一个特别时代的问题，一个直击灵魂的问题，你家的那个防火墙，它真的还顶用吗？你想想看，现在的网络攻击越来越 z， 花样也越来越多，甚至还有从内部搞破坏的，那我们天天靠着的这道防线，它真的就那么万无一失？ 嗯，这还真得打个问号，又想搞明白今天这个主角到底是个啥？咱们得先来看一个特别形象的比喻，你就这么想把你的内网和外面的互联网想象成被一条大河隔开的两块地， 那防火墙呢？它就是河上面的一座桥，但是咱们今天的主角这个网闸，它可不是桥，它是什么呢？它是一艘摆渡船。 哎，那桥和船这区别到底在哪呢？你看啊，桥它是把两岸一直连着的，对吧？上面的车流可以不停的来来回回，可摆渡船就不一样了，它完全是另一种玩法， 你得先把车开到船上，然后船再慢悠悠的把你送到对岸去。在整个过程中，和的两岸之间其实是断开的，关键就在这两个词中断，还有转移。 这句话简直就是点睛之笔，把这两种东西的设计理念说的透透的，你听防火墙想的是什么？是咱们先连着，有什么问题我再帮你查。他的核心是连接，但网闸呢？他的思路完全是反过来的，咱们默认是断开的，除非我百分之百确定安全了，我再帮你搬运一次数据。他的核心就是隔离， 所以你看，一个呢，是先通后防，另一个是先防后通，这差别可太大了。哎，听起来是不是特别厉害？那么问题来了，这艘听上去这么牛的摆渡船，它到底是怎么工作的？这背后又藏了什么硬核的技术原理呢？咱们接着往下看， 要说网渣的核心机密，那都藏在他的这个二加一物理架构里。你看，这正好就对应了咱们刚才说的那个比喻，他有两个完全独立的码头，一个接内网，一个接外网，这就是那个二。那中间的加一是什么呢？没错，就是咱们的那艘摆渡船，那个隔离交换单元。 最关键的一点是，这两个码头之间呢，是没有任何直接连接的，没有任何桥，船是唯一能来来回回的东西。这么一来，不就实现了真正的物理隔离了吗？ 好，这网渣的安全魔法就全在这个流程里了。咱们一步步来看啊，当一个数据包就像一个快递包裹，从外网送到这个外部码头的时候，网渣会干一件特别呃，可以说是简单粗暴的事， 它会把这个包裹蹭蹭扒开，把所有像 tcp 杠 ip 这样的网络协议，也就是那些可能藏着病毒的快递包装盒和填充物，通通给你扔掉，就只剩下最核心最干净的那个货物，也就是纯数据。 然后呢，咱们的百度船就只运这个干干净净的货物到内部码头，到了之后再由内部系统给它重新打个包。你想想，这么一来，所有藏在包装盒里的危险玩意是不从跟上就被干掉了。 行，原理咱们差不多清楚了。那现在啊，是时候把网站和防火墙拉到同一个擂台上，让他们来一次正面对决了。咱们好好看看这俩家伙的区别到底有多大。 好，咱们对着这张表来总结一下最关键的几点。你看，防火墙，他搞的是逻辑隔离，说白了就是在桥上设了个检查站，车还是能一直过的。 但是网闸呢？他搞的是物理隔离，他压根就没见桥，他是靠船来回搬运那些已经被净化过的纯数据，所以你只要记住这个核心就行，一个是在线过滤，另一个是离线搬运，这就是他们俩最本质最根本的区别。 ok， 既然网渣的安全策略都这么极端了，那到底是什么地方才需要动用这种可以说是核武器级别的防护措施呢？ 嗯，咱们就来看看他的真实战场都在哪？答案其实很简单，就是在那些把安全这两个字看的比天还大的地方， 你想想，比如说政府，存着核心机密文件的网络，军队的指挥系统，银行里管着泥沃钱袋子的核心系统，还有像电网啊，核电站啊，这些国家的关键基础建设，在这些地方，任何一次哪怕是小小的网络入侵，造成的后果都可能是灾难级的。 所以啊，必须得上最高级别的物理隔离来守护，没得伤啊。这就说到了网闸存在的终极意义了，简单来说，就是为了内部网络百分之百的安全，它可以牺牲掉所有的便利性， 这是一个非常明确，非常决绝的取舍。在网闸的世界观里，根本就没有差不多就行，这种安全只有绝对的安全，没有中间地带。 当然了，话又说回来，在网络安全这个江湖里，从来就不存在什么能解决一切问题的银弹网闸，他也不是神，他虽然非常强大，但也有自己的短板，有自己的阿克留斯之后，所以咱们必须得客观的看看他的局限性在哪。 这网渣的局限性啊，主要有这么几点，首先，他只负责百度，但他不负责验货。什么意思呢？就是如果一个病毒伪装成了一个正常的文件，他可看不出来，照样会傻乎乎的给你运进去。其次呢，他防不住人为的失误，要是安全策略配置错了，那照样会出大问题。 还有现在特别流行的勒索软件，它不偷你的数据，就是把你的数据全加密了，让你用不了，那网闸对付这种攻击作用也比较有限。所以说，网闸绝对不是一个能单打独斗的英雄， 它必须跟沙箱啊，终端检测这些其他的安全工具一起组成一个安全复仇者联盟，才能把威力发挥到最大。 好最后呢，咱们留下一个开放性的问题，大家可以一块思考一下。现在啊，有个叫零信任的理念特别火，他的核心想法就是别再分什么内网外网了，我谁都不信，每一个访问请求我都得从不信任，永远验证。 那么在这样一个网络边界越来越模糊的时代，像网炸这种可以说是终极的边界守护者，他的角色未来会怎么变呢？是会慢慢变成一个老古董，还是会进化出一种全新的形态？嗯，问题问题，我觉得值得我们每一个人都好好想一想。

哈喽，大家好，今天带大家从头到尾实操一遍大恒网口相机的全部设置到下载中心软件下载讲的是 windows 下载第一个 下面 run time 版本是精简版，不方便调试以及开发。下载完成之后，在安装之前我们先要关闭杀毒，看这个位置有没有杀毒软件，如果有的话先关掉 我们的防火墙，有没有关掉也要关掉再安装。关掉的右键管理员权限进行安装，直接点击开始安装，后面直接点安装就行了，全程默认安装， 装完记得重启一下电脑，让驱动正常生效。重启之后把相机的供电插上，然后现在相机灯应该是橙色的，再用网线把相机和 电脑连接起来，这个时候相机的灯是绿色的，然后打开 galaxy view 的 软件， 在左边设备列表可以看到我们的相机这个时候是黄色感叹号。相机和网口不在同一个网段上，所以需要先设置一下相机所在的网口，然后我们去对应设置， 在 i p v 四这里设置固定 ip， 固定 ip 它断电之后不会改变， 会更稳定一点。设幺九二点幺六八点幺幺幺点幺幺幺。这个 第三位是根据你的环境里面不要跟其他的冲突就行了，然后如果有多个相机，建议第三位不一样，然后第四位也不能一样， 那点击确定这个网络滤波驱动是大恒网口相机使用的时候必须要勾上的，如果没有，可能是你 安装的时候没有关闭杀毒防火墙导致的。重装一下双击相机，它会自动进入这个 ip 配置工具，点一下自动配置 ip， 好 了，现在变成 这个样子，播放按钮绿色的就是正常的，这边也没有那个标识了，现在就可以连接。嗯，我这个百兆是因为我这个网线不行， 不用管，只是帧率低，然后双击的时候连接，点击播放按钮采集，这个是显示画面， 我现在采集点击采集了，他没有帧率也没有帧数，我们可以先加载一次默认参数，停止采集的时候参数组选择退出，恢复出厂设置， 然后就可以正常开采了。现在画面是黑的，是因为我把相机盖起来了， 我把相机对着光，他会过曝，我要把曝光时间先调小一点点啊，以前又太小了， 画面太亮的话就降一点，太暗就调高，看着舒服清晰就行了。这个曝光时间是根据我们的环境来设置的，然后我们可以设置一下 roi， 只用中间某一块区域， 我们可以设置一下 roi， 这个 roi 的 话需要停止采集才能设置，先停采，然后就可以拖或者自己输入值去设置了。在开采的过程中，我们可以用这个手绘 roi 设置 roi， 可以 明显的提高我们的帧率。画面调好之后， 再给大家看一下软触发是怎么实现的，就是我们可以在采集控制这一款，就是啊，设备配置信息采集控制这一款，把触发模式打开， 触发源选择 software， 点击 try software， 点一下，它会触发一次， 也可以在触发 i o 这里设置。设置完成之后，我们可以保存用户参数组，断电之后就不会消失，关机重启之后 它还是这一套餐数。好了，以上就是大恒网口相机全套操作，从软件下载 安装避坑、 ip 设置曝光、 roi 软触发以及加载默认参数保存自定义参数组，新手照着操作完全够用。

柴米油盐酱醋茶，我们开门七件事啊，那么对于我们企业这个开公司呢，那我们同样的我们也有这个开门五件事啊， 大家好，我是瑞安科技的潘老师，那么这一期呢，我们继续给大家分享我们中小企业老板必备的财税知识，我们的第一个模块啊的第五个课时 就是搭建我们财税防火墙啊，就是我们企业的这个开门五件事，那么哪五件事呢？第一件事呢就是我们银行开户啊，第二件事税务报道， 第三件呢是建立账册，第四件呢是我们的票局管理，第五件事呢就是我们的印章管理啊，我们从这五个方向给大家简单的介绍一下我们企业在注册的这个初期管理。第五件事呢就是我们的印章管理啊，我们从这五个方向给大家简单的介绍一下我们企业在注册的这个呃，必须要完成的一些事情啊， 首先呢是银行开户啊，我们开门做生意嘛，要收钱的啊，要收钱，那么这个时候呢，大家注意一下，要注意一下，特别是我们有限责任公司老板，就大家如果听过我课的话，我一直强调过就是，呃，避免这个，避免这个私人收款啊，避免私人， 避免私人账户去收款啊，啊，就是我们的这个银行账户开出来以后，尽量的就把我们这个资金啊，进入公户 啊，进入到我们的银行公户里面去啊，这个是业务的起点啊，也是我们这个税务风险的这个起点啊，很多很多这个老板就是因为这个私人账户收款最终栽了跟头啊，所以我们开门第一件事就是去银行开户啊，银行开户 我们一般开的这个户呢，就是你第一次到银行开的这个户，我们叫基本户啊，就是基本户啊，基本户，基本户开完了以后呢，就是这个里面可以用来收款啊，交税啊，这个就是去银行开开户啊，开基本户啊，这是我们要做的第一件事情。 第二件事情就是税务报道啊，税务报道，税务报道这个事情呢，如果你没有会计，那么可以，你 让财务公司去办也可以啊，当然呢，你如果想省钱，你自己去办也可以的，那么就是有一些就是税总的核定啊，就是你到底交什么税啊？就是税总啊，税总把它定下来交什么税啊？就是还有就是发票啊， 啊，你先发票啊，这就是第二件事就是税务报道啊，第三件呢是建立账册啊。建立账册这个事情怎么讲呢？就是，呃，还是这句话，你有会计嘛，就让会计做啊，没有会计的就是安排可以交给这个。呃，财务公司做这件事情啊，要建账册啊，建账 这个就算你找呃财务公司代理记账公司帮你去，帮你去记账报税啊，那么你也要知道几件事情啊，第一个事情他给你用的是什么？这个会计制度 啊？是小企业这个会计准则呢？还是那个企业会计准则啊？第二个呢是账本在哪啊？账本在哪啊？账本在哪啊？这个要要要，要了解一下啊，要了解一下啊。第四个呢就是报表的管理啊，报表的管理。报表的管理是哪些呢？比如说发票 啊，发票这个谁来开啊？你财务公司开也好，你会计开也好，你如果这些都没有，那么你你自己开，你自己怎么开，你要学会啊，自己看怎么怎么去学会。开票要注意哪些哪些规矩啊？ 还有一些你这个，呃，你出去办业务，采购也好，消费也好啊，那么一定要养成一个要发票的这个啊，大家注意啊，一定要要发票 啊，这边是就是公司的业务啊，公司的业务你出去以后都要要发票，大家要养成一个要发票的这个习惯啊，要发票的习惯，很多人觉得很多老板他觉得哎呦，要发票就要加点， 这个，这个是很多人这个概念里面就是概念，他就认为要发票一定一定是要加点的啊，这个概念呢，希望大家呢就是稍微要改一改啊，实际上很多时候呢要发票不一定是要加点的啊，你要养成这个要发票的习惯， 这个是你证明你的业务真实性的一个依据啊。呃，哪怕实在要不到发票，就实在要不到发票，你拿个收据也好啊， 就你实在要不到发票了，拿个收据也好啊，就是你拿个收据嘛，或者至少能证明你这个业务的真实性啊。确实有这么一个事情啊，这个是发票的管理啊， 要核算的管理。第五点呢就是印章的管理，印章的管理，印章的管理呢？如果你这个公司呢，相对来说已经已经有一定规，有一定的规模了啊，有的规模，大家注意一个就是你的公章、法人章啊，还有财务章 啊，这几个不要由一个人管啊，分开啊，分开管理，分开管理啊，不要由一个人来管啊，当然如果是你自己，那你就无所谓了啊，如果说你是有这个团队的，建议大家这几个章，这几个章呢？不要这个一个人来管理， 为啥呢？这几个人一个如果一个人来管理的话，这个这个拿着这个章是可以到银行里面把钱拿走的 啊，大家注意啊，这几个章都混在一起的话，一个人的话是那这凭着这个章到银行里面是可以把钱拿走的啊，大家注意一下啊，所以一般情况下我们就是公章跟法人章，公章跟法人章就是我们老板你自己管的啊， 如果说公司规模大了的话，那么这个这个公章你可以让让这个办公室啊，让让办公室行政行政去去管的啊， 如果说要盖章的话，要签字啊，比如说谁要盖章，要登记签字等等啊，那么这个法人章你就自己留着啊，法人章自己留着，而这个财务章呢，一般是是财务管啊，如果说是需要用的话，需要用的时候，到时候履行一个登记的手续啊，这个一定要注意啊，这个要注意好了啊，这是防止内部，这个是防止内部 腐败啊，这个是防止内部腐败的一个重大的一个内部控制事项啊，重大的是内部控制事项，大家一定要注意啊，内控啊，这是内控风险的这个一个重大事项啊，是这三个印章要分开啊， 很多这个很多这个这个这个这个地方的，呃，公司出问题，就是这几个印章没分开。还有一个我这里也提到，我要讲一下，就是银行 就银行，这里就是银行的网银钥匙，就是网银，网银的那个优优盾啊， 网优盾，网优盾，如果是你自己那就算了，如果是你这有财务，或者说你们公司财务有几个人的话，注意啊，必须要有一个，起码是两个盾，起码是两个盾啊，就是一个是自单， 一个是审核啊，总是你把握一个原则，把握一个原则什么呢？就是，呃，你公司账户里的钱 必须要有两个人经手以后这个钱才能出去啊，必须两个人经手才能出去。像很多很多大的公司，他那里有三个人，四个人才能出去啊，就是不同的这个额度啊，就是，但是不管，不管金额大小，至少有两个人才能出去啊，所以这个这个也是 也是我们内部控制风险防范的重大事项啊，这两点啊，印章和网银这两个，各位老板，呃，郑重的提醒各位老板一定要重视啊， 这两个上面出了问题，你公司可能内部你公司的这个钱不保啊，有一天你钱，呃，有一天你可能回过头来看，你公司账面上的钱都没了，都不知道啊， 这是我们这个公司注册完了以后需要财税方面做的这个五件五件事啊。好，那我们这期的这个分享就到这里啊，那么那我们第一个模块就分享完了啊。好的，谢谢大家，我们下一期再见。

一定要找一个你核心的人员当这个法人，或者是你公司的财务也好，你的配偶也好，对不对？哎，你的这个公司的核心股东也好，哎，都可以的 啊，只要是把这两个公司不要进行关联就行了，他是可以打造防火墙的。万一这家公司你没有盘不动怎么办？ 你还有这家公司啊，对不对？所以说这些都是防火墙未来想扩大经营的企业。想未来就举个例子来。我们昨天开超市也好，开生鲜也好，开连锁店也好，那未来我可以一家、两家、三家、四家、五家，对不对？ 我还可以同时二十家一起开选址。那不就成为品牌的。那是因为你底子厚啊。那是因为你有钱呐。任何东西有钱好办事啊。

然后呢，在之前我们也聊到了一个概念，就是绘画表象啊，这个绘画表象是用来干嘛呢？它是用来记录 tcp、 udp、 smp 等协议的这个连接状态的表象， 那我们防火墙就可以去基于这种状态的豹纹怎么样呢？对手包或者说少量的豹纹进行检测，确定一条连接的状态。对于后续的豹纹呢，我直接去看这些状态啊，看这个绘画表现，然后进行转化就可以了 啊，大量的报文直接根据所属连接的状态进行控制啊，这样我就可以快速的进行数据转发。好吧，这个是也是我们状态检测方法它的一个优点啊，对于包裹率而言，我不管你是不是属于一个绘画的， 我每一个报文我都会去进行一个啊，过滤啊，对，都会进行一个检查，对不对？好，那对于包过滤方向，他去这个对数据包的一个 处理速度啊，相对而言就会慢很多。 ok， 那 绘画表现就是记录了连接状态而存在的。 ok 啊，那绘画表现是怎样的？我们通过下面这个例子来看一下啊。实，实际上咱们绘画表现其实就是一个五元组， 比如说你现在 pc 一 想要去访问 pc 二，我们 pc 二是一个 http 服务器，好吧， pc 一 想要去访问 pc 二，那么它的安全区域都不一样，一个是 trust， 一个是 an trust 啊，一个是 trust， 一个是 an trust。 ok， 那 么此时呢， 我可以怎么样呢？我 pc 一 去访问 pc 二的时候，我是不是要去发送那个 sym 豹纹，建立 tcp 连接啊，对不对？那发送 sym 豹纹原 ip 不就是幺九二点幺六八点一点一吗？啊，原端口是随机的啊，原端口是随机的，然后目的 ip 是 多少？目的 ip 不 就是幺零点一点一点一吗？那目的端口是多少？ htv 服不就是八零吗？对吧？好，那对于第一个包也是，也就是我们的这个请求建立连接的包文，就是 s 八 m 包文，对吧？那华为这个防盗墙对于手包它就会去做一个啊， 安全策略的一个检查啊，我会去匹配对应的安全策略，如果说匹配通过的话，那我就会去创建对应的绘画表象啊，为这个手包去创建对应的绘板绘画表象，那么 p c 一 在发送报文的时候，哎，我再去这个 建立，我再去建立 c c p 点接的时候啊，手包到达这个防火墙的时候，就会去创建绘画表象。 ok， 那 对应的绘画表象我们可以看一下是怎么样呢？哎，有 幺九二点幺六八点一点，一端口号是五二七五四，目的是什么呢？幺零点一点零，一端口号是八零，你看是不是我们刚写的这样，这就手包他所创建的绘画表象啊，并且呢，第三步，哎，我汇报表象生成了， 并且我的安全策略也匹配也通过了，那防火墙就会去放行这个手包啊，那当 p c r 去进行回包的时候，当 p c r 去进行 回包的时候，那我就直接回复，就啊，直接回复就可以了， ok， 好， 直接回复到这个 pce 里面来， ok， 手包就把这个绘画表象已经创建好了啊，对于回程的包文，我直接去匹配这个绘画表象，那如果匹配通过， ok 直接转发 啊，那对于后续的包文，我还需不需要去查看我的刺猬呢？注意啊，对于手包而言， 对于手稿而言，我需要去查查我的安全策略的。好吧，安全策略我需要去看啊，对于后续报文，我就不再去看安全策略了，我只要确定你是这条绘画的，我就怎样直接发送那匹配的这个绘画我就直接发送。那所以说你的数据 数据就快很多，好吧，就快很多。好，那对于这个绘画表象，它的一个创建的一个过程啊， 以及包的一个处理过程啊，有下面几个流程。首先呢，啊，对于设备而言，我们接收到报文之后啊，我们会做一些基础处理，我会去查找绘画表象 啊，会去查找绘画表象，如果说这个没有匹配绘画表象， ok， 那 我就去做一些状态检测，判断你是不是可以去建立绘画啊，看你是不是可以去建立绘画 啊。那么查询 server map， 这个 server map 我 们后面去聊。好吧，查询路由表，查询安全策略，看见没 啊？我要去，对于这个数据，我去查安全策略，对不对啊？安全策略通过我才能放心，当然你通过的前提条件是什么？是你有去往目的的路由，对不对？然后呢？查询 n a t， 然后做一些其他手包的一个处理流程，并且如果说前边都通通过的话， ok， 我 就去创建规划啊，我就去创建规划，好吧，好，后续呢？哎，我报文进行转发的时候，我是不是要去对你的内容进行安全检测啊，对吧？然后转发报文。 好，这个是没有匹配的这些绘画， ok， 我 就要去创建绘画。如果说你这些，呃，参数，你查 c o m 表，你查路由表，查安全策略表，都不通过的话，我就直接丢弃了，好吧。 啊，那么第二个当我去匹配绘画表象，如果说匹配到的话， ok， 我 就会去刷新这个绘画表，这个绘画表不是一直会存在的，它有老化时间啊，它有老化时间，当我数据通信的时候，我就会刷新这个绘画表啊，并且啊 查看这个安全策略。这个安全策略啊，这是什么？其实就是什么？就是那个我们的内容 啊，内容这个检查进行内容检查， ok 啊，是那个安全策略啊，然后其他后续包啊，直接处理就可以了啊，后续包直接进行处理，我就不再需要去查看那个什么你的原主是否匹配啊，我直接去进行一个数据转发就可以了， ok 啊，那么这个是这个绘画表象的创建以及它包括率的一个处理过程。 哇，好，那么在绘画表当中我们有老化时间啊，那对于 老化时间这个其实很好理解啊，其实很好理解，我为什么要去串联老化时间呢啊？我们为各种协议去设定的老化时间，当一个绘画在老化时间内，如果说我没有被任何豹纹匹配的话， 那我就会怎么样？我就会把这个绘画表从，我会把这个绘画从绘画表里面去删掉，这样我就可以删除一些没有用的这个绘画表，我看啊就减低我们的一个设备负担啊，对不对？好，那，但是呢，我们对于某一些这个啊，特殊的业务啊， 特殊的业务，那一个绘画的两个连续报文可能时间间隔是很长的，比如说通过 ftp 下载大文件， 那你 ftp 是 不是有这个数据通道和控制通道？那我首先我要去登录，登录你的 ftp 服务器，我是不是要通过这个控制通道去登录啊？好，那登之后， ok， 我 去下文件了， 你可能这个文件很大，你要用数据通道去下，对不对？好，那你下了很久，那么你，你那个控制通道的这个 控制通道的老化时间是不就会老化掉？那你待会你再去啊，想要去进行一些其他的文件下来，你是不是还要重新去登录这个 ftp 服务器， 对不对？那这样的话就不太好啊，因为绘画时间太短了，所以说针对这一种特殊的服务，我们可以在设备上面去怎么样去开启长连接 啊？去开启长连接，长连接，这个机子就可以不分连接，设定超时的老化时间， ok 啊，这超长的老化时间啊，超长的老化时间，比如说你之前是三百秒， ok， 我 给你设定的老化时间是十分钟，三十分钟，对吧？那是不就可以解决对应的一些问题啊？ 这个就是绘画表老化时间与残连接的一个作用啊，残连接也就是在某一些特殊的服务当中，我们也才会去用啊，一般来说也不会用啊。好， 那刚刚我们也提到了这个 ftp， 这个写啊，这个协议是比较特殊的一个协议，这个协议是什么呢？它是一个多通道协议，好吧，一种比较这个特殊的多通道协议，比如说 ftp， 它有什么？有数据通道，有数据通道，数据通道就会用来传文件的呗？有控制通道， 控制到我就通过这个控制通道去登录，去传输命令，对不对？好像这种就是一个多通道协议，那在防火墙上面，我们的安全策略一般是做一些单向的安全策略。 好吧，那对于这种多通道协议可能来说，会导致他无法工作啊，比如说 ftp 的 主动模式， ftp 的 主动模式，我们去用主动模式传输文件的时候啊，那是由谁去发起 发起连接的呢？那我们就往下面来看啊，对于下面这个图，它是个左边是个客户端，右边是个服务器，那首先你客户端要登录到服务器里面，我是不是要发起控制连接啊？ 对吧？我发起控制连接，然后这个控制通道就怎么样？就直接就生成了，对不对？好，那对于防火墙而言，我们会去做这种单向的安全策略。 ok， 那 这里边这个策略是什么呢？哎， 从这个客户端到服务器的这个流量我是允许的，那对应的这个端口我也有，我也放行了，对不对？好，那你这个时候如果说你采用的是 ftp 的 主动模式的话， 你的数据通道因为我现在已经登录上来了，对不对？那现在是不是传递数据啊？我要去建立这个数据通道。对于主动模式，我的数据通道是由谁来建立的？由服务器发起的 啊？由服务器发去了，而你防火墙上面有没有去设置外网啊？外部的流量到内部的这个策略呢？没设置， 对吧？没有设置，那你也不好去设置，你也设置不了，那最终就导致什么问题？导致这个数据通道没有办法去建立，那你后续的数据流量能不能传递啊？能下文件吗？下不了。那你建立这个控制通道有意义吗？没意义。 所以说在这个多通道写的场景下面啊，我们防火墙需要去解决这种问题啊，通过什么解决呢啊？通过我们后面学的 aspf 和 zero map 表现。好，我们就来看一下 这个多通道写 ftp 的 一个过程讲解。 ok 啊，同，同样的是刚刚那个图啊，刚那个图。首先第一步，客户端啊，随用随机端口号向服务端的二十一号端口发起控制连接，控制连接的端口号是二十一， ok， 那 源是他自己，对不对？端口，这个源端口肯定是随机的。然后呢，你要去跟 ftp 建立这个控制连接，那我是不是要目的就是 ftp 服务器 ip， 然后目的端口是二十一号端口，首先要去建立一个三次握手， 对吧？要去建立一个三次握手，然后呢，三次握手之后，我的控制连接是不就建好了，对吧？好，那此时控制连接建立完毕之后，我后续是不要去做这个 数据通道，对不对？我要去传递数据了，对吧？那对于这种多通道协议，哎，我怎样去解决这个问题呢？那咱们就往下面去看一下啊。 首先我们这里边用的是 ftp 的 主动模式，对不对？好， ftp 的 主动模式，它的这个数据通道是由谁发起连接？发起请求的是由客户端啊，是由服务端发起连接请求的，对不对？好，那在发起请求之前啊，这个 客户端他会先去发送一个 port 消息，这个 port 消息就有什么信息呢？有我自己的 ip 地址，以及我待会要跟你去建立连接的端口号 y y y y， ok， 他 在去建立数据通道之前已经告诉这个服务器了啊？已经告诉服务器了， 好吧？好，告诉服务器之后，服务器收到之后呢？ ok， 那 我就会向客户端去发起什么？发起数据链接的一个 s 版的一个请求，对不对？那原段号，那就是 二一二零二零，是不是这个数据通道的一个段号呀？对不对啊？那么原 ip 就是 它自己，对吧？然后目的 ip 幺九二零幺六八零一点二，目的端口呢？ yy， yy 啊，这个时候我就可以去创建这个数据通道，那么这个也是说正常情况下你可以这样去创建。 ok， 如果说你考虑这个中间没有防火墙的话，你可以这样去创建。 ok， 那数据通道有了之后，我是不是就可以去传递数据了？好，那么在这个时候，如果说我在中间加了一台防火墙呢？你这个外网的流量，你这个 server 端的流量，你想要过来的话，而我又没有去设置，哎，这一块的一个安全策略， 那最终你还能不能把这个控制通道啊？把这个数据通道的一个链接能发进来的，对不对？你发不进来，你这个数据是发不进来的，因为你，因为你这个 防火墙上面只去做了一个单向的安全策略，好吧，做了单向的安全，对于这一块的流量，我是没有去做安全策略的啊，没有做安全策略啊，其实也做不了 啊，所以说你这个控制这个数据通道你就串联不了，那最终数据可能是没有办法去，没有办法去传递的，对不对？那针对这个问题，这个方法怎么去解决呢？我们就可以通过 aspf 和 server map 表象去解决这个问题啊，是怎么去解的？我在数据通道串联之前，你看这一个， 呃，客户端它是不是发了一个 port 消息？ port 消息里面包含自己的这个 ip 和端口号，那这个 port 消息它其实实际上是一个应用层的一个消息啊，应用层的消息，那对于防火墙而言，当你去开启了 aspf 之后，我就可以去分析你应用层的一些数据， ok， 分 析你应用层的一些数据，然后呢，产生对这个应用层的数据，产生对应的 several map 表象，这个 several map 表象有点类似于什么？有点类似于一个临时的啊，绘画表啊，类似于一个临时的绘画表，好吧，啊， 好，那我们就来看一下这个 a s p f 和 seven man 表现。为了去解决这个多通道的问题，那防火墙需要去识别协议在应用层协商时的地址和端口，看它是它的作用是去识别应用层的地址和端口，这个时候我们就去开启这个 a s p f 协议， 那 aspf 也称之为基于状态的豹纹过滤啊，我可以检测应用层的信息，并且根据这些信息这个生成 server map 表象。 这个 server map 表象呢，记录的这个类似于绘画表中的连觉状态啊，但是呢，它比绘画表是要简单一点的啊，它应该是个三元组的信息。好吧，那 在真实的流量到达之前，这个方浩强会基于 server map 表象生成绘画表，然后执行转发 啊，那么 aspf 就 通过这样的一个方式去解决刚刚那个问题，那具体是怎么去解决的，我们就来看一下。首先啊，对于这个图而言啊，我们如果说没有去开启 aspf， 你 这个 intp server 跟 ftp client 它发起的这个数据通道我们是没有办法建立的，因为我的策略是单向的啊，这一块我是没有做策略，那么默认是不是就拒绝了？好，那当我们去开启了 aspf 之后呢？ 当我客户端要跟这个服务端去建立数据通道之前，你这个客户端是不是会发一个破的消息啊？这个破的消息里边就有什么呢？就有对应的我自己的 ip 地址 啊，幺九二点幺六八点一点二，以及我待会要去跟你去建立的啊，这个端口号啊， y y y y 对 不对？刚才是不是 y y y？ 好， 那么此时当我开启了 a s p p f 之后，我就会去检查哎，你这个 port 消息，然后产生对应的 serial map 表象， 你看这个 serial map 表象里面有什么东西呢？有，哎，待会我们要去建立 啊，我们要去建立绘画的原 ip 目的 ip 以及对应的端口。 ok， 它的作用是干嘛呢？作用是用于 ftp 的 数据通道啊，也有对应的老化时间 啊。那么当下一次，哎，这个 ftp server 端想要去这个跟里边的 的客户端去建立数据通道的时候，那么此时我就会去匹配到这个 server map 表象，好吧，这 server map 表象是通过客户端发送 push 消息产生的，然后呢，下一次服务器想要去跟客户端建立这个绘画的时候，我就会去匹配这个 server map 表象， 而不是那个安全策略了，就直接匹配 solo map 表象。哎，一看，哎，原是幺零零一点零一，匹配到了，目的是幺九二点幺六八零一点二，断稿是二零九七，也匹配到了， 对吧？也匹配了，匹配了之后呢？ ok， 我 就会为这一个绘画去生成啊，为这一个绘画去生成一个绘画表，那我就可以通过 summa 表象生成了一个绘画表，但有绘画表之后，后续的流量是不就可以转发了，对不对？这个就是 aspf 去解决这种多通道协它的一个 过程啊。啊，比较麻烦啊，比较麻烦。好，那 seven map 表象，它的一个这个简化的一个包转发的一个过程。收到了， 是怎样的啊？当我收到报文之后，查看，哎，是否命中绘画表，如果没有命中的话，查看是否命中 seven map 表象。如果说命中 seven map 表象，我就会去生成绘画表，你看这绘画表是不是通过 seven map 表象来产生的， 对不对？如果说你没有命中 server map 表象，我就按手包处理，手包处理就去查安全策略了，对不对？对于刚刚那个场景，你按 trust 到 trust 区，有安全策略没有啊？没有，所以说，哎， 那会儿你的这个控制数据通道建立不了。好吧，好，生成了这个绘画表之后，我就可以转发豹纹，豹纹了嘛，对不对？大概的话就是这么一个过程啊，好。