一、防火墻部署方式有哪些

防火墻(qiang)是為加(jia)強網絡安全防護能力在網絡中部(bu)(bu)署的(de)硬件設(she)備，有多種部(bu)(bu)署方式(shi)，常(chang)見的(de)有橋模(mo)(mo)式(shi)、網關(guan)模(mo)(mo)式(shi)和NAT模(mo)(mo)式(shi)等。

1、橋模式

橋(qiao)模式(shi)(shi)也可叫(jiao)作(zuo)透明模式(shi)(shi)。最簡(jian)單的(de)(de)網(wang)絡(luo)由客(ke)戶端和(he)服務(wu)器組成，客(ke)戶端和(he)服務(wu)器處于(yu)同(tong)一網(wang)段(duan)。為了安全方面的(de)(de)考慮(lv)，在(zai)客(ke)戶端和(he)服務(wu)器之(zhi)間增加了防(fang)火墻設(she)備(bei)，對(dui)經(jing)過的(de)(de)流量進(jin)行(xing)安全控制(zhi)。正常(chang)的(de)(de)客(ke)戶端請求(qiu)通(tong)過防(fang)火墻送(song)達(da)服務(wu)器，服務(wu)器將響應返(fan)回給客(ke)戶端，用戶不會感(gan)覺到中間設(she)備(bei)的(de)(de)存在(zai)。工(gong)作(zuo)在(zai)橋(qiao)模式(shi)(shi)下的(de)(de)防(fang)火墻沒有IP地址，當對(dui)網(wang)絡(luo)進(jin)行(xing)擴容時無(wu)需對(dui)網(wang)絡(luo)地址進(jin)行(xing)重(zhong)新規劃，但(dan)犧牲了路由、VPN等(deng)功能。

2、網關模式

網關模式適用于內外網不在同一網段的情況，防火墻設(she)置(zhi)網關地(di)址實現路(lu)由(you)器的功(gong)能，為不(bu)同網段進行路(lu)由(you)轉發(fa)。網關模式相比橋模式具備(bei)更高的安全性，在進行訪問控(kong)制的同時實現了安全隔離，具備(bei)了一定的私密性。

3、NAT模式

NAT（Network Address Translation）地(di)(di)(di)址(zhi)(zhi)翻(fan)譯技術由(you)防(fang)(fang)火墻對內部(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)IP地(di)(di)(di)址(zhi)(zhi)進行(xing)地(di)(di)(di)址(zhi)(zhi)翻(fan)譯，使用(yong)防(fang)(fang)火墻的(de)IP地(di)(di)(di)址(zhi)(zhi)替換內部(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)源地(di)(di)(di)址(zhi)(zhi)向外部(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)發送數(shu)據；當外部(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)響應(ying)數(shu)據流量返回到防(fang)(fang)火墻后(hou)，防(fang)(fang)火墻再將目的(de)地(di)(di)(di)址(zhi)(zhi)替換為內部(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)源地(di)(di)(di)址(zhi)(zhi)。NAT模式(shi)能夠實現(xian)外部(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)不能直(zhi)接看(kan)到內部(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)IP地(di)(di)(di)址(zhi)(zhi)，進一(yi)步增強(qiang)了對內部(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)的(de)安全防(fang)(fang)護。同時，在(zai)NAT模式(shi)的(de)網(wang)(wang)(wang)絡(luo)(luo)中，內部(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)可以使用(yong)私網(wang)(wang)(wang)地(di)(di)(di)址(zhi)(zhi)，可以解決IP地(di)(di)(di)址(zhi)(zhi)數(shu)量受(shou)限的(de)問題。

二、防火墻的三種工作模式介紹

1、路由模式：防火墻以第三(san)層(ceng)對外(wai)連接（接口具有IP地(di)址），此時(shi)可以完成ACL包過(guo)濾，ASPF動(dong)態過(guo)濾、NAT轉(zhuan)換等功能。

注：路由(you)模式(shi)需要對(dui)網絡拓撲進行修改。

2、透明模式：防(fang)火墻(qiang)以第二層對(dui)外連接（接口沒有IP地(di)址），此(ci)時相當于交換機，部分防(fang)火墻(qiang)不支持STP。

3、混合模式：混合上面兩種。