一、防火墻部署方式有哪些

防火墻是(shi)為加(jia)強網絡安全防護能力在網絡中部署(shu)的硬(ying)件(jian)設備，有多種部署(shu)方式，常見的有橋模(mo)(mo)式、網關模(mo)(mo)式和NAT模(mo)(mo)式等(deng)。

1、橋模式

橋模(mo)式也可(ke)叫作透明模(mo)式。最簡單的(de)網(wang)絡由(you)客(ke)(ke)戶(hu)端(duan)和(he)(he)服務(wu)器組成，客(ke)(ke)戶(hu)端(duan)和(he)(he)服務(wu)器處于同一網(wang)段。為了(le)安(an)全方(fang)面(mian)的(de)考慮，在客(ke)(ke)戶(hu)端(duan)和(he)(he)服務(wu)器之間增加了(le)防火墻設備，對經過(guo)的(de)流量進行安(an)全控制。正常(chang)的(de)客(ke)(ke)戶(hu)端(duan)請求通過(guo)防火墻送達服務(wu)器，服務(wu)器將響應返回(hui)給客(ke)(ke)戶(hu)端(duan)，用戶(hu)不(bu)會感覺到(dao)中間設備的(de)存(cun)在。工作在橋模(mo)式下的(de)防火墻沒(mei)有IP地址，當對網(wang)絡進行擴容時無需對網(wang)絡地址進行重新規劃，但犧(xi)牲了(le)路由(you)、VPN等功能。

2、網關模式

網關模式適用于內外網不在同一網段的情況，防火墻設(she)置網關地址(zhi)實現路(lu)由器(qi)的(de)(de)功能，為不(bu)同(tong)網段(duan)進(jin)行路(lu)由轉(zhuan)發(fa)。網關模(mo)式相(xiang)比橋模(mo)式具備更高的(de)(de)安全性，在進(jin)行訪(fang)問控制的(de)(de)同(tong)時(shi)實現了安全隔離，具備了一定的(de)(de)私密(mi)性。

3、NAT模式

NAT（Network Address Translation）地(di)(di)址(zhi)翻(fan)譯技術由防(fang)火(huo)(huo)(huo)墻對內(nei)部網絡(luo)的IP地(di)(di)址(zhi)進行地(di)(di)址(zhi)翻(fan)譯，使(shi)用(yong)防(fang)火(huo)(huo)(huo)墻的IP地(di)(di)址(zhi)替(ti)換內(nei)部網絡(luo)的源地(di)(di)址(zhi)向外(wai)部網絡(luo)發送數據(ju)；當外(wai)部網絡(luo)的響應數據(ju)流量返回(hui)到防(fang)火(huo)(huo)(huo)墻后，防(fang)火(huo)(huo)(huo)墻再將目(mu)的地(di)(di)址(zhi)替(ti)換為(wei)內(nei)部網絡(luo)的源地(di)(di)址(zhi)。NAT模式能夠(gou)實現外(wai)部網絡(luo)不能直(zhi)接看到內(nei)部網絡(luo)的IP地(di)(di)址(zhi)，進一步增強了對內(nei)部網絡(luo)的安全(quan)防(fang)護(hu)。同(tong)時(shi)，在NAT模式的網絡(luo)中，內(nei)部網絡(luo)可以使(shi)用(yong)私(si)網地(di)(di)址(zhi)，可以解決IP地(di)(di)址(zhi)數量受限的問題。

二、防火墻的三種工作模式介紹

1、路由模式：防火墻以(yi)第三(san)層對外連(lian)接（接口具有(you)IP地(di)址），此時可以(yi)完成ACL包過濾(lv)，ASPF動(dong)態過濾(lv)、NAT轉換等功能(neng)。

注(zhu)：路由模(mo)式需要對網絡拓(tuo)撲進(jin)行修改。

2、透明模式：防火墻以(yi)第(di)二層對(dui)外連(lian)接（接口(kou)沒有IP地(di)址），此時相(xiang)當于交換機，部分防火墻不支持STP。

3、混合模式：混合上面兩種。