一、防火墻部署方式有哪些
防(fang)火(huo)墻是為加(jia)強網(wang)絡安全防(fang)護能力在網(wang)絡中部(bu)署的(de)硬件設(she)備,有多(duo)種(zhong)部(bu)署方式(shi),常見的(de)有橋模(mo)式(shi)、網(wang)關模(mo)式(shi)和(he)NAT模(mo)式(shi)等。
1、橋模式
橋模式也可叫作透(tou)明模式。最(zui)簡單的網(wang)(wang)絡(luo)由客(ke)(ke)戶(hu)(hu)端(duan)(duan)和(he)服(fu)務(wu)器(qi)組(zu)成,客(ke)(ke)戶(hu)(hu)端(duan)(duan)和(he)服(fu)務(wu)器(qi)處(chu)于同一網(wang)(wang)段。為了(le)安全方面的考慮,在客(ke)(ke)戶(hu)(hu)端(duan)(duan)和(he)服(fu)務(wu)器(qi)之間增(zeng)加(jia)了(le)防(fang)火墻設(she)備(bei)(bei),對經過的流量進行安全控制。正(zheng)常的客(ke)(ke)戶(hu)(hu)端(duan)(duan)請求通過防(fang)火墻送達服(fu)務(wu)器(qi),服(fu)務(wu)器(qi)將響應返(fan)回給客(ke)(ke)戶(hu)(hu)端(duan)(duan),用戶(hu)(hu)不會感覺到(dao)中間設(she)備(bei)(bei)的存在。工作在橋模式下(xia)的防(fang)火墻沒有IP地址(zhi),當對網(wang)(wang)絡(luo)進行擴容時無(wu)需(xu)對網(wang)(wang)絡(luo)地址(zhi)進行重新規劃,但犧牲了(le)路(lu)由、VPN等功能。
2、網關模式
網關模式適用于內外網不在同一網段的情況,防火墻設(she)置網關(guan)地址(zhi)實現路由(you)器的功能(neng),為不同網段進(jin)行路由(you)轉發。網關(guan)模(mo)式相比橋模(mo)式具(ju)(ju)備(bei)更(geng)高(gao)的安(an)全性(xing)(xing),在進(jin)行訪(fang)問(wen)控制的同時實現了安(an)全隔離,具(ju)(ju)備(bei)了一定的私(si)密性(xing)(xing)。
3、NAT模式
NAT(Network Address Translation)地(di)(di)址(zhi)(zhi)(zhi)翻譯技(ji)術(shu)由防(fang)(fang)火(huo)墻(qiang)對內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)的IP地(di)(di)址(zhi)(zhi)(zhi)進行(xing)地(di)(di)址(zhi)(zhi)(zhi)翻譯,使用防(fang)(fang)火(huo)墻(qiang)的IP地(di)(di)址(zhi)(zhi)(zhi)替(ti)換內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)的源(yuan)地(di)(di)址(zhi)(zhi)(zhi)向外部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)發送(song)數據;當(dang)外部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)的響(xiang)應數據流量返回到防(fang)(fang)火(huo)墻(qiang)后,防(fang)(fang)火(huo)墻(qiang)再將目的地(di)(di)址(zhi)(zhi)(zhi)替(ti)換為內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)的源(yuan)地(di)(di)址(zhi)(zhi)(zhi)。NAT模式能夠實現(xian)外部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)不能直接(jie)看到內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)的IP地(di)(di)址(zhi)(zhi)(zhi),進一步增強了對內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)的安全防(fang)(fang)護。同時(shi),在NAT模式的網(wang)(wang)絡(luo)(luo)(luo)中,內部(bu)(bu)網(wang)(wang)絡(luo)(luo)(luo)可(ke)以使用私網(wang)(wang)地(di)(di)址(zhi)(zhi)(zhi),可(ke)以解決IP地(di)(di)址(zhi)(zhi)(zhi)數量受限(xian)的問(wen)題。
二、防火墻的三種工作模式介紹
1、路由模式:防火(huo)墻以(yi)(yi)第(di)三層對外連接(接口具有IP地址),此時可以(yi)(yi)完(wan)成ACL包過濾,ASPF動態過濾、NAT轉換(huan)等功能。
注:路由模式需(xu)要對網(wang)絡拓撲進行修(xiu)改。
2、透明模式:防(fang)火(huo)墻以第二層對外連接(接口沒有IP地(di)址),此時相當于(yu)交換機,部分防(fang)火(huo)墻不支持STP。
3、混合模式:混合上面兩種。