一、防火墻部署方式有哪些

防火墻是為加強網(wang)絡安全(quan)防護能力在(zai)網(wang)絡中(zhong)部署的(de)硬件設備，有(you)多(duo)種部署方式，常(chang)見的(de)有(you)橋(qiao)模(mo)式、網(wang)關模(mo)式和NAT模(mo)式等。

1、橋模式

橋模(mo)式也(ye)可(ke)叫(jiao)作(zuo)透明(ming)模(mo)式。最(zui)簡單(dan)的(de)(de)網絡由客戶端和(he)服務器組成，客戶端和(he)服務器處于同一(yi)網段。為了安(an)全(quan)方面(mian)的(de)(de)考慮，在客戶端和(he)服務器之間增加(jia)了防(fang)(fang)火(huo)墻(qiang)設(she)備，對經過的(de)(de)流(liu)量進(jin)行(xing)安(an)全(quan)控(kong)制。正常的(de)(de)客戶端請求(qiu)通過防(fang)(fang)火(huo)墻(qiang)送達服務器，服務器將響(xiang)應返回(hui)給客戶端，用戶不(bu)會(hui)感(gan)覺到中間設(she)備的(de)(de)存在。工作(zuo)在橋模(mo)式下的(de)(de)防(fang)(fang)火(huo)墻(qiang)沒有(you)IP地址，當對網絡進(jin)行(xing)擴容時無需對網絡地址進(jin)行(xing)重新規劃，但犧(xi)牲了路由、VPN等功能。

2、網關模式

網關模式適用于內外網不在同一網段的情況，防火墻設置(zhi)網(wang)關地址實現路由器的(de)功(gong)能，為不同網(wang)段(duan)進行(xing)路由轉發。網(wang)關模式相(xiang)比(bi)橋模式具(ju)(ju)備更高(gao)的(de)安全(quan)性，在(zai)進行(xing)訪問控制的(de)同時實現了安全(quan)隔離，具(ju)(ju)備了一定(ding)的(de)私密性。

3、NAT模式

NAT（Network Address Translation）地(di)址(zhi)翻譯(yi)技術由防火墻對內部(bu)(bu)網(wang)(wang)(wang)(wang)絡(luo)的IP地(di)址(zhi)進行地(di)址(zhi)翻譯(yi)，使(shi)用防火墻的IP地(di)址(zhi)替換內部(bu)(bu)網(wang)(wang)(wang)(wang)絡(luo)的源地(di)址(zhi)向外(wai)部(bu)(bu)網(wang)(wang)(wang)(wang)絡(luo)發送數據(ju)；當外(wai)部(bu)(bu)網(wang)(wang)(wang)(wang)絡(luo)的響應數據(ju)流量返回(hui)到防火墻后，防火墻再將目的地(di)址(zhi)替換為內部(bu)(bu)網(wang)(wang)(wang)(wang)絡(luo)的源地(di)址(zhi)。NAT模式能夠(gou)實現外(wai)部(bu)(bu)網(wang)(wang)(wang)(wang)絡(luo)不(bu)能直(zhi)接看到內部(bu)(bu)網(wang)(wang)(wang)(wang)絡(luo)的IP地(di)址(zhi)，進一步(bu)增強了對內部(bu)(bu)網(wang)(wang)(wang)(wang)絡(luo)的安全(quan)防護(hu)。同時(shi)，在(zai)NAT模式的網(wang)(wang)(wang)(wang)絡(luo)中，內部(bu)(bu)網(wang)(wang)(wang)(wang)絡(luo)可(ke)以使(shi)用私(si)網(wang)(wang)(wang)(wang)地(di)址(zhi)，可(ke)以解決IP地(di)址(zhi)數量受限的問題。

二、防火墻的三種工作模式介紹

1、路由模式：防火墻(qiang)以第(di)三層對外連接(jie)（接(jie)口具有IP地址(zhi)），此時可以完成ACL包過(guo)濾(lv)，ASPF動(dong)態過(guo)濾(lv)、NAT轉(zhuan)換等功能。

注：路由模(mo)式(shi)需(xu)要對網絡拓撲進行修改。

2、透明模式：防(fang)火(huo)墻以第二層對外連接（接口沒有IP地址），此時相當于交換機(ji)，部分防(fang)火(huo)墻不(bu)支持STP。

3、混合模式：混合上面兩種。