一、防火墻部署方式有哪些

防火墻是為加強(qiang)網(wang)絡安全(quan)防護(hu)能力在網(wang)絡中(zhong)部(bu)署的硬件設(she)備，有(you)多(duo)種部(bu)署方式(shi)(shi)(shi)，常見的有(you)橋模(mo)式(shi)(shi)(shi)、網(wang)關模(mo)式(shi)(shi)(shi)和NAT模(mo)式(shi)(shi)(shi)等(deng)。

1、橋模式

橋(qiao)模(mo)式也可(ke)叫作透明模(mo)式。最簡(jian)單(dan)的(de)(de)網(wang)(wang)絡(luo)由客(ke)(ke)戶(hu)(hu)端和(he)服(fu)務器(qi)組成，客(ke)(ke)戶(hu)(hu)端和(he)服(fu)務器(qi)處于(yu)同一(yi)網(wang)(wang)段。為了安(an)全方面的(de)(de)考慮(lv)，在(zai)(zai)客(ke)(ke)戶(hu)(hu)端和(he)服(fu)務器(qi)之間(jian)增加了防(fang)火墻(qiang)(qiang)設備，對(dui)經過的(de)(de)流量進行安(an)全控制(zhi)。正常的(de)(de)客(ke)(ke)戶(hu)(hu)端請(qing)求通過防(fang)火墻(qiang)(qiang)送達服(fu)務器(qi)，服(fu)務器(qi)將響應返回給(gei)客(ke)(ke)戶(hu)(hu)端，用戶(hu)(hu)不會感覺到(dao)中間(jian)設備的(de)(de)存在(zai)(zai)。工作在(zai)(zai)橋(qiao)模(mo)式下的(de)(de)防(fang)火墻(qiang)(qiang)沒有IP地址，當對(dui)網(wang)(wang)絡(luo)進行擴容時無需對(dui)網(wang)(wang)絡(luo)地址進行重(zhong)新規劃，但犧牲了路由、VPN等功(gong)能。

2、網關模式

網關模式適用于內外網不在同一網段的情況，防火墻設置網關地址(zhi)實(shi)(shi)現路由(you)器的功能，為(wei)不同(tong)網段進(jin)行路由(you)轉發。網關模(mo)式相(xiang)比橋模(mo)式具備更高的安(an)全性(xing)，在進(jin)行訪問(wen)控(kong)制的同(tong)時實(shi)(shi)現了(le)安(an)全隔離，具備了(le)一(yi)定的私密(mi)性(xing)。

3、NAT模式

NAT（Network Address Translation）地(di)(di)址(zhi)(zhi)(zhi)翻(fan)譯技術(shu)由(you)防(fang)火墻(qiang)對內(nei)(nei)部(bu)(bu)(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)IP地(di)(di)址(zhi)(zhi)(zhi)進(jin)(jin)行地(di)(di)址(zhi)(zhi)(zhi)翻(fan)譯，使用防(fang)火墻(qiang)的(de)(de)IP地(di)(di)址(zhi)(zhi)(zhi)替(ti)換內(nei)(nei)部(bu)(bu)(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)源(yuan)地(di)(di)址(zhi)(zhi)(zhi)向外(wai)部(bu)(bu)(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)發送數據；當外(wai)部(bu)(bu)(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)響應數據流量(liang)返回到防(fang)火墻(qiang)后，防(fang)火墻(qiang)再(zai)將(jiang)目的(de)(de)地(di)(di)址(zhi)(zhi)(zhi)替(ti)換為(wei)內(nei)(nei)部(bu)(bu)(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)源(yuan)地(di)(di)址(zhi)(zhi)(zhi)。NAT模式能(neng)夠實現外(wai)部(bu)(bu)(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)不能(neng)直接看到內(nei)(nei)部(bu)(bu)(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)IP地(di)(di)址(zhi)(zhi)(zhi)，進(jin)(jin)一步增強了對內(nei)(nei)部(bu)(bu)(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)安全(quan)防(fang)護。同時(shi)，在(zai)NAT模式的(de)(de)網(wang)(wang)(wang)絡(luo)(luo)(luo)中(zhong)，內(nei)(nei)部(bu)(bu)(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)可以使用私網(wang)(wang)(wang)地(di)(di)址(zhi)(zhi)(zhi)，可以解決(jue)IP地(di)(di)址(zhi)(zhi)(zhi)數量(liang)受限的(de)(de)問題。

二、防火墻的三種工作模式介紹

1、路由模式：防火(huo)墻以第三(san)層對外連接(jie)（接(jie)口具有IP地址），此時可(ke)以完成ACL包過濾，ASPF動態過濾、NAT轉換等功能。

注：路由模式(shi)需(xu)要對(dui)網(wang)絡拓撲進行(xing)修(xiu)改(gai)。

2、透明模式：防火墻以第二層對(dui)外連接(jie)（接(jie)口沒有IP地址），此時相當于交換機(ji)，部分防火墻不支持STP。

3、混合模式：混合上面兩種。