一、防火墻部署方式有哪些

防(fang)(fang)火墻(qiang)是(shi)為加強網(wang)絡(luo)安全防(fang)(fang)護能力在網(wang)絡(luo)中部署的(de)硬件設備，有多(duo)種(zhong)部署方式(shi)，常見的(de)有橋模式(shi)、網(wang)關模式(shi)和NAT模式(shi)等。

1、橋模式

橋模式也(ye)可叫作透明模式。最簡單(dan)的網(wang)絡(luo)由(you)(you)客(ke)(ke)戶(hu)(hu)端和服務器組成，客(ke)(ke)戶(hu)(hu)端和服務器處(chu)于(yu)同一網(wang)段。為了(le)安全方面的考慮，在(zai)客(ke)(ke)戶(hu)(hu)端和服務器之間增加(jia)了(le)防火(huo)墻設備(bei)，對(dui)經(jing)過(guo)的流量(liang)進(jin)行(xing)(xing)(xing)安全控制。正常的客(ke)(ke)戶(hu)(hu)端請(qing)求通過(guo)防火(huo)墻送達服務器，服務器將響應返回給客(ke)(ke)戶(hu)(hu)端，用戶(hu)(hu)不(bu)會感(gan)覺(jue)到中間設備(bei)的存在(zai)。工作在(zai)橋模式下的防火(huo)墻沒有IP地(di)(di)址，當對(dui)網(wang)絡(luo)進(jin)行(xing)(xing)(xing)擴容時無需對(dui)網(wang)絡(luo)地(di)(di)址進(jin)行(xing)(xing)(xing)重新規劃，但犧牲(sheng)了(le)路由(you)(you)、VPN等功能。

2、網關模式

網關模式適用于內外網不在同一網段的情況，防火墻設置網關地址實現路由器的功能，為不同網段進行路由轉發。網關模式相比橋模式具備更高的安全性，在進行訪問(wen)控制的同時(shi)實現了安全隔離，具備了一定的私密性。

3、NAT模式

NAT（Network Address Translation）地(di)址(zhi)(zhi)翻(fan)(fan)譯技術由(you)防(fang)火墻(qiang)對內(nei)(nei)部網絡(luo)(luo)的(de)(de)IP地(di)址(zhi)(zhi)進行地(di)址(zhi)(zhi)翻(fan)(fan)譯，使(shi)(shi)用(yong)防(fang)火墻(qiang)的(de)(de)IP地(di)址(zhi)(zhi)替換(huan)內(nei)(nei)部網絡(luo)(luo)的(de)(de)源地(di)址(zhi)(zhi)向(xiang)外(wai)(wai)部網絡(luo)(luo)發(fa)送數據(ju)；當外(wai)(wai)部網絡(luo)(luo)的(de)(de)響應(ying)數據(ju)流量返回到防(fang)火墻(qiang)后(hou)，防(fang)火墻(qiang)再將(jiang)目的(de)(de)地(di)址(zhi)(zhi)替換(huan)為內(nei)(nei)部網絡(luo)(luo)的(de)(de)源地(di)址(zhi)(zhi)。NAT模式能(neng)(neng)夠實(shi)現(xian)外(wai)(wai)部網絡(luo)(luo)不(bu)能(neng)(neng)直接看到內(nei)(nei)部網絡(luo)(luo)的(de)(de)IP地(di)址(zhi)(zhi)，進一(yi)步增強了對內(nei)(nei)部網絡(luo)(luo)的(de)(de)安(an)全防(fang)護。同(tong)時，在NAT模式的(de)(de)網絡(luo)(luo)中(zhong)，內(nei)(nei)部網絡(luo)(luo)可(ke)以(yi)使(shi)(shi)用(yong)私網地(di)址(zhi)(zhi)，可(ke)以(yi)解決IP地(di)址(zhi)(zhi)數量受限的(de)(de)問題。

二、防火墻的三種工作模式介紹

1、路由模式：防火(huo)墻(qiang)以第(di)三層對外連接(jie)（接(jie)口具有IP地址），此時可以完成ACL包(bao)過濾(lv)(lv)，ASPF動(dong)態過濾(lv)(lv)、NAT轉換(huan)等功(gong)能。

注：路(lu)由(you)模式需要(yao)對網絡拓(tuo)撲進行修改。

2、透明模式：防(fang)火墻以(yi)第二層(ceng)對外連接（接口沒(mei)有IP地(di)址），此時相當于交(jiao)換機，部分防(fang)火墻不支持STP。

3、混合模式：混合上面兩種。