一、防火墻部署方式有哪些
防火墻(qiang)是為加(jia)強網絡安全防護(hu)能力在網絡中(zhong)部(bu)署(shu)的硬件設備,有多(duo)種部(bu)署(shu)方式(shi),常見的有橋模(mo)式(shi)、網關模(mo)式(shi)和NAT模(mo)式(shi)等(deng)。
1、橋模式
橋模(mo)式(shi)(shi)也可叫作(zuo)透明(ming)模(mo)式(shi)(shi)。最簡單的(de)(de)網絡由(you)客戶(hu)(hu)端(duan)(duan)和服務(wu)(wu)器(qi)組成(cheng),客戶(hu)(hu)端(duan)(duan)和服務(wu)(wu)器(qi)處于同一網段。為了(le)安(an)全方面的(de)(de)考慮,在客戶(hu)(hu)端(duan)(duan)和服務(wu)(wu)器(qi)之間增加(jia)了(le)防火墻設(she)(she)備,對經過的(de)(de)流量進行(xing)安(an)全控制。正常的(de)(de)客戶(hu)(hu)端(duan)(duan)請求通過防火墻送達服務(wu)(wu)器(qi),服務(wu)(wu)器(qi)將響應返回給客戶(hu)(hu)端(duan)(duan),用戶(hu)(hu)不會感覺到中(zhong)間設(she)(she)備的(de)(de)存在。工作(zuo)在橋模(mo)式(shi)(shi)下(xia)的(de)(de)防火墻沒有IP地(di)址(zhi),當對網絡進行(xing)擴容時無(wu)需對網絡地(di)址(zhi)進行(xing)重新規劃,但犧(xi)牲了(le)路(lu)由(you)、VPN等功能。
2、網關模式
網關模式適用于內外網不在同一網段的情況,防火墻設(she)置網(wang)關地(di)址實現路(lu)由(you)器的功能,為不同網(wang)段進(jin)行(xing)路(lu)由(you)轉(zhuan)發。網(wang)關模式相比(bi)橋模式具(ju)備(bei)更(geng)高的安(an)全性(xing),在進(jin)行(xing)訪問(wen)控制的同時實現了安(an)全隔離,具(ju)備(bei)了一定的私(si)密性(xing)。
3、NAT模式
NAT(Network Address Translation)地址(zhi)(zhi)(zhi)(zhi)(zhi)翻譯技術由防(fang)(fang)火墻對(dui)內部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)(de)IP地址(zhi)(zhi)(zhi)(zhi)(zhi)進(jin)行地址(zhi)(zhi)(zhi)(zhi)(zhi)翻譯,使(shi)用(yong)防(fang)(fang)火墻的(de)(de)(de)IP地址(zhi)(zhi)(zhi)(zhi)(zhi)替換(huan)(huan)內部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)(de)源(yuan)地址(zhi)(zhi)(zhi)(zhi)(zhi)向外(wai)部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)發送(song)數據;當外(wai)部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)(de)響應數據流(liu)量返回到防(fang)(fang)火墻后,防(fang)(fang)火墻再將目的(de)(de)(de)地址(zhi)(zhi)(zhi)(zhi)(zhi)替換(huan)(huan)為內部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)(de)源(yuan)地址(zhi)(zhi)(zhi)(zhi)(zhi)。NAT模(mo)式能夠實現(xian)外(wai)部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)不能直接看到內部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)(de)IP地址(zhi)(zhi)(zhi)(zhi)(zhi),進(jin)一步增強了(le)對(dui)內部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)的(de)(de)(de)安全防(fang)(fang)護。同時,在NAT模(mo)式的(de)(de)(de)網(wang)(wang)(wang)絡(luo)(luo)(luo)中,內部(bu)(bu)(bu)網(wang)(wang)(wang)絡(luo)(luo)(luo)可以使(shi)用(yong)私網(wang)(wang)(wang)地址(zhi)(zhi)(zhi)(zhi)(zhi),可以解決IP地址(zhi)(zhi)(zhi)(zhi)(zhi)數量受限的(de)(de)(de)問題(ti)。
二、防火墻的三種工作模式介紹
1、路由模式:防(fang)火墻以第(di)三層對外連接(接口具有IP地址),此時可以完成ACL包(bao)過濾,ASPF動態過濾、NAT轉(zhuan)換等(deng)功(gong)能。
注:路由模式需要對(dui)網絡拓撲進行修(xiu)改。
2、透明模式:防火墻(qiang)以第二層(ceng)對外連接(接口沒有(you)IP地址),此時相當于交換機,部分防火墻(qiang)不支持STP。
3、混合模式:混合上面兩種。