一、防火墻部署方式有哪些
防火墻是為加(jia)強(qiang)網絡(luo)安全防護能力在(zai)網絡(luo)中部(bu)署的硬(ying)件(jian)設備,有多種(zhong)部(bu)署方式(shi),常見的有橋(qiao)模式(shi)、網關模式(shi)和NAT模式(shi)等。
1、橋模式
橋模式也可叫作透明模式。最簡單的(de)網(wang)絡由(you)客(ke)戶(hu)端(duan)和服務器(qi)組成(cheng),客(ke)戶(hu)端(duan)和服務器(qi)處于同(tong)一網(wang)段。為了安全方(fang)面的(de)考慮,在客(ke)戶(hu)端(duan)和服務器(qi)之間(jian)增(zeng)加了防(fang)火(huo)墻設備(bei),對(dui)經(jing)過(guo)的(de)流(liu)量進(jin)行(xing)安全控制(zhi)。正常(chang)的(de)客(ke)戶(hu)端(duan)請求通(tong)過(guo)防(fang)火(huo)墻送達服務器(qi),服務器(qi)將響(xiang)應返回(hui)給客(ke)戶(hu)端(duan),用(yong)戶(hu)不會感覺(jue)到(dao)中間(jian)設備(bei)的(de)存在。工作在橋模式下(xia)的(de)防(fang)火(huo)墻沒(mei)有IP地址,當(dang)對(dui)網(wang)絡進(jin)行(xing)擴(kuo)容時無(wu)需對(dui)網(wang)絡地址進(jin)行(xing)重新(xin)規(gui)劃,但(dan)犧牲了路由(you)、VPN等功能(neng)。
2、網關模式
網關模式適用于內外網不在同一網段的情況,防火墻設(she)置網(wang)關地址實現(xian)路由器的功能,為不同(tong)網(wang)段(duan)進行路由轉發。網(wang)關模(mo)式(shi)相比橋模(mo)式(shi)具(ju)備更高(gao)的安全(quan)性(xing),在(zai)進行訪問控制的同(tong)時(shi)實現(xian)了(le)(le)安全(quan)隔(ge)離,具(ju)備了(le)(le)一定(ding)的私密性(xing)。
3、NAT模式
NAT(Network Address Translation)地(di)(di)址(zhi)(zhi)(zhi)翻譯技術由(you)防(fang)火墻對(dui)內(nei)(nei)(nei)部(bu)網(wang)(wang)絡(luo)(luo)(luo)的(de)(de)IP地(di)(di)址(zhi)(zhi)(zhi)進行(xing)地(di)(di)址(zhi)(zhi)(zhi)翻譯,使用防(fang)火墻的(de)(de)IP地(di)(di)址(zhi)(zhi)(zhi)替(ti)換內(nei)(nei)(nei)部(bu)網(wang)(wang)絡(luo)(luo)(luo)的(de)(de)源(yuan)地(di)(di)址(zhi)(zhi)(zhi)向外部(bu)網(wang)(wang)絡(luo)(luo)(luo)發(fa)送數據(ju)(ju);當(dang)外部(bu)網(wang)(wang)絡(luo)(luo)(luo)的(de)(de)響應數據(ju)(ju)流量返(fan)回到(dao)防(fang)火墻后,防(fang)火墻再將目的(de)(de)地(di)(di)址(zhi)(zhi)(zhi)替(ti)換為(wei)內(nei)(nei)(nei)部(bu)網(wang)(wang)絡(luo)(luo)(luo)的(de)(de)源(yuan)地(di)(di)址(zhi)(zhi)(zhi)。NAT模(mo)式(shi)能(neng)夠實(shi)現外部(bu)網(wang)(wang)絡(luo)(luo)(luo)不能(neng)直接看到(dao)內(nei)(nei)(nei)部(bu)網(wang)(wang)絡(luo)(luo)(luo)的(de)(de)IP地(di)(di)址(zhi)(zhi)(zhi),進一步增強了(le)對(dui)內(nei)(nei)(nei)部(bu)網(wang)(wang)絡(luo)(luo)(luo)的(de)(de)安全防(fang)護。同時,在(zai)NAT模(mo)式(shi)的(de)(de)網(wang)(wang)絡(luo)(luo)(luo)中,內(nei)(nei)(nei)部(bu)網(wang)(wang)絡(luo)(luo)(luo)可以(yi)使用私網(wang)(wang)地(di)(di)址(zhi)(zhi)(zhi),可以(yi)解決IP地(di)(di)址(zhi)(zhi)(zhi)數量受限(xian)的(de)(de)問題。
二、防火墻的三種工作模式介紹
1、路由模式:防火(huo)墻以(yi)第三層對外連接(接口(kou)具有IP地址),此時可以(yi)完成ACL包過濾(lv),ASPF動態(tai)過濾(lv)、NAT轉(zhuan)換等功能。
注:路由模式需(xu)要對(dui)網絡拓撲(pu)進行修改。
2、透明模式:防(fang)火墻以第二層對外連(lian)接(接口沒有IP地(di)址),此時(shi)相(xiang)當(dang)于交換機,部(bu)分(fen)防(fang)火墻不(bu)支持STP。
3、混合模式:混合上面兩種。