一、防火墻部署方式有哪些
防火墻是(shi)為加強網(wang)絡安全防護能力在網(wang)絡中部署的硬件(jian)設備,有多種部署方(fang)式(shi),常見的有橋模式(shi)、網(wang)關模式(shi)和NAT模式(shi)等。
1、橋模式
橋(qiao)模(mo)式(shi)也可叫(jiao)作透(tou)明模(mo)式(shi)。最簡單(dan)的(de)網絡由客(ke)(ke)(ke)戶(hu)端(duan)和(he)(he)服務器(qi)(qi)組成,客(ke)(ke)(ke)戶(hu)端(duan)和(he)(he)服務器(qi)(qi)處(chu)于同一網段(duan)。為了(le)安全(quan)方(fang)面的(de)考慮,在客(ke)(ke)(ke)戶(hu)端(duan)和(he)(he)服務器(qi)(qi)之間增(zeng)加了(le)防(fang)火(huo)墻設備(bei),對經(jing)過的(de)流量進行(xing)安全(quan)控制。正(zheng)常的(de)客(ke)(ke)(ke)戶(hu)端(duan)請求通過防(fang)火(huo)墻送達服務器(qi)(qi),服務器(qi)(qi)將響(xiang)應返回給(gei)客(ke)(ke)(ke)戶(hu)端(duan),用戶(hu)不(bu)會(hui)感覺到中(zhong)間設備(bei)的(de)存(cun)在。工作在橋(qiao)模(mo)式(shi)下的(de)防(fang)火(huo)墻沒有IP地址(zhi),當(dang)對網絡進行(xing)擴容時無需對網絡地址(zhi)進行(xing)重(zhong)新規劃,但犧(xi)牲了(le)路由、VPN等功能(neng)。
2、網關模式
網關模式適用于內外網不在同一網段的情況,防火墻設(she)置(zhi)網(wang)關(guan)地(di)址(zhi)實現(xian)路由器的(de)功能,為(wei)不同網(wang)段進(jin)行路由轉發(fa)。網(wang)關(guan)模(mo)(mo)式(shi)(shi)相比橋模(mo)(mo)式(shi)(shi)具(ju)備更高的(de)安(an)全性(xing),在進(jin)行訪問(wen)控制的(de)同時實現(xian)了安(an)全隔(ge)離,具(ju)備了一定(ding)的(de)私(si)密性(xing)。
3、NAT模式
NAT(Network Address Translation)地(di)(di)(di)址(zhi)翻(fan)譯技術(shu)由防(fang)(fang)火墻(qiang)對內(nei)部(bu)(bu)(bu)網(wang)(wang)絡(luo)的(de)(de)(de)(de)IP地(di)(di)(di)址(zhi)進(jin)(jin)行(xing)地(di)(di)(di)址(zhi)翻(fan)譯,使用防(fang)(fang)火墻(qiang)的(de)(de)(de)(de)IP地(di)(di)(di)址(zhi)替換內(nei)部(bu)(bu)(bu)網(wang)(wang)絡(luo)的(de)(de)(de)(de)源(yuan)(yuan)地(di)(di)(di)址(zhi)向外部(bu)(bu)(bu)網(wang)(wang)絡(luo)發送數據;當外部(bu)(bu)(bu)網(wang)(wang)絡(luo)的(de)(de)(de)(de)響應數據流(liu)量返(fan)回到(dao)(dao)防(fang)(fang)火墻(qiang)后,防(fang)(fang)火墻(qiang)再(zai)將目(mu)的(de)(de)(de)(de)地(di)(di)(di)址(zhi)替換為(wei)內(nei)部(bu)(bu)(bu)網(wang)(wang)絡(luo)的(de)(de)(de)(de)源(yuan)(yuan)地(di)(di)(di)址(zhi)。NAT模式(shi)能夠(gou)實現外部(bu)(bu)(bu)網(wang)(wang)絡(luo)不(bu)能直接看到(dao)(dao)內(nei)部(bu)(bu)(bu)網(wang)(wang)絡(luo)的(de)(de)(de)(de)IP地(di)(di)(di)址(zhi),進(jin)(jin)一(yi)步增(zeng)強了(le)對內(nei)部(bu)(bu)(bu)網(wang)(wang)絡(luo)的(de)(de)(de)(de)安全(quan)防(fang)(fang)護。同時(shi),在(zai)NAT模式(shi)的(de)(de)(de)(de)網(wang)(wang)絡(luo)中,內(nei)部(bu)(bu)(bu)網(wang)(wang)絡(luo)可(ke)以使用私(si)網(wang)(wang)地(di)(di)(di)址(zhi),可(ke)以解決IP地(di)(di)(di)址(zhi)數量受限的(de)(de)(de)(de)問題(ti)。
二、防火墻的三種工作模式介紹
1、路由模式:防(fang)火墻(qiang)以(yi)第(di)三層對外連接(接口具有IP地址),此時可以(yi)完成ACL包(bao)過濾,ASPF動(dong)態過濾、NAT轉換等(deng)功能。
注:路由模式需(xu)要對網絡拓撲進行修改。
2、透明模式:防火(huo)墻(qiang)以(yi)第二層對外連接(接口沒(mei)有IP地址),此(ci)時相(xiang)當于交換機,部分防火(huo)墻(qiang)不支(zhi)持STP。
3、混合模式:混合上面兩種。