找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1532|回复: 0

硬件防火墙的工作模式

[复制链接]
发表于 2009-6-2 23:57:19 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×

目前,硬件防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。如果防火墙以第三层对外连接(接口具有ip地址),则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无ip地址),则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有ip地址,某些接口无ip地址),则防火墙工作在混合模式下。
     1. 路由模式
当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及dmz三个区域相连的接口分别配置成不同网段的ip地址,重新规划原有的网络拓扑,此时相当于一台路由器。
防火墙的trust区域接口与公司内部网络相连,untrust区域接口与外部网络相连。值得注意的是,trust区域接口和untrust区域接口分别处于两个不同的子网中。
采用路由模式时,可以完成acl包过滤、aspf动态过滤、nat转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。
     2. 透明模式
如果硬件防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。
采用透明模式时,只需在网络中像放置网桥(bridge)一样插入防火墙设备即可,无需修改任何已有的配置。与路由模式相同,ip报文同样经过相关的过滤检查(但是ip报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。
防火墙的trust区域接口与公司内部网络相连,untrust区域接口与外部网络相连,需要注意的是内部网络和外部网络必须处于同一个子网。
     3. 混合模式
如果硬件防火墙既存在工作在路由模式的接口(接口具有ip地址),又存在工作在透明模式的接口(接口无ip地址),则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况,此时启动vrrp(virtual router redundancy protocol,虚拟路由冗余协议)功能的接口需要配置ip地址,其它接口不配置ip地址。
主/备防火墙的trust区域接口与公司内部网络相连,untrust区域接口与外部网络相连,主/备防火墙之间通过hub或lan switch实现互相连接,并运行vrrp协议进行备份。需要注意的是内部网络和外部网络必须处于同一个子网。


  
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|小黑屋|维修人员 ( 鲁ICP备17033090号 )

GMT+8, 2024-12-5 02:53 , Processed in 0.228710 second(s), 17 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表