一、防火墻部署方式有哪些
防(fang)火墻是為加(jia)強(qiang)網絡安(an)全防(fang)護(hu)能力在網絡中部署(shu)的硬件設備,有多種(zhong)部署(shu)方式(shi),常見的有橋(qiao)模(mo)式(shi)、網關模(mo)式(shi)和NAT模(mo)式(shi)等。
1、橋模式
橋模式(shi)也可叫作透明(ming)模式(shi)。最簡單的(de)(de)網絡由客戶(hu)(hu)(hu)端(duan)和(he)服(fu)務(wu)器(qi)(qi)組成(cheng),客戶(hu)(hu)(hu)端(duan)和(he)服(fu)務(wu)器(qi)(qi)處(chu)于同(tong)一網段。為了安(an)全方(fang)面的(de)(de)考慮(lv),在客戶(hu)(hu)(hu)端(duan)和(he)服(fu)務(wu)器(qi)(qi)之間增(zeng)加了防火(huo)墻設(she)備,對(dui)(dui)經過的(de)(de)流量進(jin)行安(an)全控(kong)制。正常(chang)的(de)(de)客戶(hu)(hu)(hu)端(duan)請(qing)求(qiu)通過防火(huo)墻送(song)達服(fu)務(wu)器(qi)(qi),服(fu)務(wu)器(qi)(qi)將響應(ying)返回給客戶(hu)(hu)(hu)端(duan),用(yong)戶(hu)(hu)(hu)不會感覺到中間設(she)備的(de)(de)存在。工作在橋模式(shi)下(xia)的(de)(de)防火(huo)墻沒有IP地址,當對(dui)(dui)網絡進(jin)行擴容時(shi)無需對(dui)(dui)網絡地址進(jin)行重(zhong)新規劃,但犧(xi)牲了路由、VPN等功能(neng)。
2、網關模式
網關模式適用于內外網不在同一網段的情況,防火墻設置網(wang)關(guan)地址實現(xian)路(lu)由器的(de)功(gong)能,為不同網(wang)段進行(xing)路(lu)由轉(zhuan)發。網(wang)關(guan)模(mo)式(shi)相比橋模(mo)式(shi)具(ju)備更高的(de)安全性(xing)(xing),在進行(xing)訪問控制(zhi)的(de)同時(shi)實現(xian)了安全隔離,具(ju)備了一(yi)定的(de)私密性(xing)(xing)。
3、NAT模式
NAT(Network Address Translation)地(di)址(zhi)(zhi)翻譯(yi)技術由防(fang)(fang)火墻對(dui)內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)(luo)的(de)(de)IP地(di)址(zhi)(zhi)進行地(di)址(zhi)(zhi)翻譯(yi),使用防(fang)(fang)火墻的(de)(de)IP地(di)址(zhi)(zhi)替換內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)(luo)的(de)(de)源地(di)址(zhi)(zhi)向(xiang)外(wai)部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)(luo)發(fa)送數據(ju);當外(wai)部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)(luo)的(de)(de)響應(ying)數據(ju)流量返回到防(fang)(fang)火墻后,防(fang)(fang)火墻再將目的(de)(de)地(di)址(zhi)(zhi)替換為(wei)內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)(luo)的(de)(de)源地(di)址(zhi)(zhi)。NAT模式能夠實現外(wai)部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)(luo)不能直接看到內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)(luo)的(de)(de)IP地(di)址(zhi)(zhi),進一步增強了對(dui)內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)(luo)的(de)(de)安全防(fang)(fang)護(hu)。同時,在NAT模式的(de)(de)網(wang)(wang)絡(luo)(luo)(luo)(luo)中(zhong),內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)(luo)可以使用私網(wang)(wang)地(di)址(zhi)(zhi),可以解決IP地(di)址(zhi)(zhi)數量受限的(de)(de)問題。
二、防火墻的三種工作模式介紹
1、路由模式:防火墻以第三層對外連(lian)接(接口具(ju)有(you)IP地址),此時可以完成ACL包過濾,ASPF動(dong)態過濾、NAT轉換等功(gong)能。
注(zhu):路(lu)由模式需要對網絡拓撲進行修改。
2、透明模式:防火(huo)墻以第二層對(dui)外連接(接口沒有IP地址(zhi)),此時相當(dang)于交(jiao)換(huan)機(ji),部分防火(huo)墻不支持(chi)STP。
3、混合模式:混合上面兩種。