一、防火墻部署方式有哪些

防(fang)火(huo)墻是為加(jia)強網(wang)絡安全防(fang)護能力在(zai)網(wang)絡中部(bu)署(shu)的(de)(de)硬件設備，有多種部(bu)署(shu)方式，常見的(de)(de)有橋模(mo)式、網(wang)關模(mo)式和NAT模(mo)式等。

1、橋模式

橋模式(shi)(shi)也可叫作透明模式(shi)(shi)。最(zui)簡單(dan)的(de)(de)網(wang)(wang)絡由(you)客(ke)戶(hu)端和(he)服(fu)(fu)務(wu)器(qi)(qi)組成，客(ke)戶(hu)端和(he)服(fu)(fu)務(wu)器(qi)(qi)處于同(tong)一網(wang)(wang)段。為了(le)安全方面的(de)(de)考慮，在客(ke)戶(hu)端和(he)服(fu)(fu)務(wu)器(qi)(qi)之(zhi)間增加了(le)防火墻(qiang)設(she)備(bei)，對經過(guo)的(de)(de)流(liu)量(liang)進行安全控制。正常的(de)(de)客(ke)戶(hu)端請求通過(guo)防火墻(qiang)送達服(fu)(fu)務(wu)器(qi)(qi)，服(fu)(fu)務(wu)器(qi)(qi)將響應返回給客(ke)戶(hu)端，用(yong)戶(hu)不(bu)會感覺(jue)到中間設(she)備(bei)的(de)(de)存(cun)在。工作在橋模式(shi)(shi)下的(de)(de)防火墻(qiang)沒(mei)有IP地址，當(dang)對網(wang)(wang)絡進行擴容時無(wu)需對網(wang)(wang)絡地址進行重新規劃，但犧牲(sheng)了(le)路(lu)由(you)、VPN等功能。

2、網關模式

網關模式適用于內外網不在同一網段的情況，防火墻設置網關(guan)地址實(shi)現(xian)路(lu)由器的功(gong)能，為(wei)不同網段進行路(lu)由轉發。網關(guan)模式相比橋模式具備更高的安全(quan)性，在進行訪問控制的同時實(shi)現(xian)了(le)安全(quan)隔(ge)離，具備了(le)一定的私(si)密性。

3、NAT模式

NAT（Network Address Translation）地(di)址(zhi)(zhi)翻(fan)譯(yi)技術由防(fang)火(huo)(huo)墻對(dui)內(nei)(nei)(nei)部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)IP地(di)址(zhi)(zhi)進行(xing)地(di)址(zhi)(zhi)翻(fan)譯(yi)，使用防(fang)火(huo)(huo)墻的(de)IP地(di)址(zhi)(zhi)替(ti)換(huan)(huan)內(nei)(nei)(nei)部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)源(yuan)(yuan)地(di)址(zhi)(zhi)向外部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)發送數據；當外部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)響應(ying)數據流量(liang)返回到(dao)防(fang)火(huo)(huo)墻后，防(fang)火(huo)(huo)墻再將目的(de)地(di)址(zhi)(zhi)替(ti)換(huan)(huan)為(wei)內(nei)(nei)(nei)部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)源(yuan)(yuan)地(di)址(zhi)(zhi)。NAT模(mo)式(shi)能(neng)夠實現外部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)不(bu)能(neng)直接看(kan)到(dao)內(nei)(nei)(nei)部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)IP地(di)址(zhi)(zhi)，進一步(bu)增強了對(dui)內(nei)(nei)(nei)部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)安(an)全(quan)防(fang)護。同時，在NAT模(mo)式(shi)的(de)網(wang)(wang)(wang)絡(luo)(luo)中，內(nei)(nei)(nei)部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)可以使用私(si)網(wang)(wang)(wang)地(di)址(zhi)(zhi)，可以解決IP地(di)址(zhi)(zhi)數量(liang)受限(xian)的(de)問(wen)題。

二、防火墻的三種工作模式介紹

1、路由模式：防火(huo)墻以(yi)第三(san)層對外連接(jie)（接(jie)口具(ju)有(you)IP地址），此(ci)時可以(yi)完成ACL包過濾(lv)，ASPF動態(tai)過濾(lv)、NAT轉(zhuan)換等功能(neng)。

注：路由(you)模式需要對網(wang)絡拓撲進行修改。

2、透明模式：防火(huo)墻(qiang)以第二層對外(wai)連接（接口沒有IP地址），此(ci)時相當于交換機，部分防火(huo)墻(qiang)不支持(chi)STP。

3、混合模式：混合上面兩種。