防火墙工做模式的介绍

文章出处：www.net1980.com

         防火墙可以工做在三种模式下：路由模式、透明模式、混合模式。若是防火墙以第三层对外链接（接口具备IP 地址），则认为防火墙工做在路由模式下；若防火墙经过第二层对外链接（接口无IP 地址），则防火墙工做在透明模式下；若防火墙同时具备工做在路由模式和透明模式的接口（某些接口具备IP 地址，某些接口无IP 地址），则防火墙工做在混合模式下。下面对这三种工做模式分别进行介绍：

1、防火墙三种工做模式的简介

一、路由模式

        当防火墙位于内部网络和外部网络之间时，须要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不一样网段的IP 地址，从新规划原有的网络拓扑，此时至关于一台路由器。以下图所示，防火墙的Trust区域接口与公司内部网络相连，Untrust 区域接口与外部网络相连。值得注意的是，Trust 区域接口和Untrust 区域接口分别处于两个不一样的子网中。

        

 

 

 

 

 

 

 

 采用路由模式时，能够完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而，路由模式须要对网络拓扑进行修改（内部网络用户须要更改网关、路由器须要更改路由配置等），这是一件至关费事的工做，所以在使用该模式时需权衡利弊。

2. 透明模式

         若是防火墙采用透明模式进行工做，则能够避免改变拓扑结构形成的麻烦，此时防火墙对于子网用户和路由器来讲是彻底透明的。也就是说，用户彻底感受不到防火墙的存在。

         采用透明模式时，只需在网络中像放置网桥（bridge）同样插入该防火墙设备便可，无需修改任何已有的配置。与路由模式相同，IP 报文一样通过相关的过滤检查（可是IP 报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。防火墙透明模式的典型组网方式以下：

        

 

 

 

 

 

 

 

 

如上图所示，防火墙的Trust 区域接口与公司内部网络相连，Untrust 区域接口与外部网络相连，须要注意的是内部网络和外部网络必须处于同一个子网。

3. 混合模式

         若是防火墙既存在工做在路由模式的接口（接口具备IP 地址），又存在工做在透明模式的接口（接口无IP 地址），则防火墙工做在混合模式下。混合模式主要用于透明模式做双机备份的状况，此时启动VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）功能的接口须要配置IP 地址，其它接口不配置IP地址。防火墙混合模式的典型组网方式以下：

        

 

 

 

 

 

 

 

 

 

 

 

如上图所示，主/备 防火墙的Trust 区域接口与公司内部网络相连，Untrust区域接口与外部网络相连，主/备防火墙之间经过HUB 或LAN Switch 实现互相链接，并运行VRRP 协议进行备份。须要注意的是内部网络和外部网络必须处于同一个子网。

 

2、防火墙三种模式的工做过程

一、路由模式工做过程

         防火墙工做在路由模式下，此时全部接口都配置IP 地址，各接口所在的安全区域是三层区域，不一样三层区域相关的接口链接的外部用户属于不一样的子网。当报文在三层区域的接口间进行转发时，根据报文的IP 地址来查找路由表，此时 防火墙表现为一个路由器。可是， 防火墙与路由器存在不一样， 防火墙中IP 报文还须要送到上层进行相关过滤等处理，经过检查会话表或ACL 规则以肯定是否容许该报文经过。此外，还要完成其它防***检查。路由模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防***检查、流量监控等功能。

二、透明模式工做过程

         防火墙工做在透明模式（也能够称为桥模式）下，此时全部接口都不能配置IP 地址，接口所在的安全区域是二层区域，和二层区域相关接口链接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时，须要根据报文的MAC 地址来寻找出接口，此时防火墙表现为一个透明网桥。可是，防火墙与网桥存在不一样，防火墙中IP 报文还须要送到上层进行相关过滤等处理，经过检查会话表或ACL 规则以肯定是否容许该报文经过。此外，还要完成其它防***检查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防***检查、流量监控等功能。工做在透明模式下的 防火墙在数据链路层链接局域网（LAN），网络终端用户无需为链接网络而对设备进行特别配置，就像LAN Switch 进行网络链接。

三、混合模式工做过程

         防火墙工做在混合透明模式下，此时部分接口配置IP 地址，部分接口不能配置IP 地址。配置IP 地址的接口所在的安全区域是三层区域，接口上启动VRRP功能，用于双机热备份；而未配置IP 地址的接口所在的安全区域是二层区域，和二层区域相关接口链接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时，转发过程与透明模式的工做过程彻底相同。

 

原文连接： http://www.net1980.com/2010/05/05/%E9%98%B2%E7%81%AB%E5%A2%99%E5%B7%A5%E4%BD%9C%E6%A8%A1%E5%BC%8F%E7%9A%84%E4%BB%8B%E7%BB%8D/