防火墙工作模式简介

防火墙工作模式简介

ID:40200833

大小:79.99 KB

页数:4页

时间:2019-07-25

防火墙工作模式简介_第1页
防火墙工作模式简介_第2页
防火墙工作模式简介_第3页
防火墙工作模式简介_第4页
资源描述:

《防火墙工作模式简介》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、防火墙工作模式简介防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。如果防火墙以第三层对外连接(接口具有IP地址),则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP地址,某些接口无IP地址),则防火墙工作在混合模式下。一、防火墙三种工作模式的简介1、路由模式      当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成

2、不同网段的IP地址,重新规划原有的网络拓扑,此时相当于一台路由器。如下图所示,防火墙的Trust区域接口与公司内部网络相连,Untrust区域接口与外部网络相连。值得注意的是,Trust区域接口和Untrust区域接口分别处于两个不同的子网中。      采用路由模式时,可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。 2.透明模式      如

3、果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。      采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP报文同样经过相关的过滤检查(但是IP报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。防火墙透明模式的典型组网方式如下:      如上图所示,防火墙的Trust区域接口与公司内部网络相连,Untru

4、st区域接口与外部网络相连,需要注意的是内部网络和外部网络必须处于同一个子网。 3.混合模式      如果防火墙既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况,此时启动VRRP(VirtualRouterRedundancyProtocol,虚拟路由冗余协议)功能的接口需要配置IP地址,其它接口不配置IP地址。防火墙混合模式的典型组网方式如下:      如上图所示,主/备防火墙的Tr

5、ust区域接口与公司内部网络相连,Untrust区域接口与外部网络相连,主/备防火墙之间通过HUB或LANSwitch实现互相连接,并运行VRRP协议进行备份。需要注意的是内部网络和外部网络必须处于同一个子网。 二、防火墙三种模式的工作过程1、路由模式工作过程      防火墙工作在路由模式下,此时所有接口都配置IP地址,各接口所在的安全区域是三层区域,不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时,根据报文的IP地址来查找路由表,此时防火墙表现为一个路由器。

6、但是,防火墙与路由器存在不同,防火墙中IP报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。路由模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。 2、透明模式工作过程      防火墙工作在透明模式(也可以称为桥模式)下,此时所有接口都不能配置IP地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的MAC地址来寻找出接口,

7、此时防火墙表现为一个透明网桥。但是,防火墙与网桥存在不同,防火墙中IP报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。工作在透明模式下的防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络而对设备进行特别配置,就像LANSwitch进行网络连接。 3、混合模式工作过程      防火墙工作在混合透明模式下,此时部分接口配置IP地址,部

8、分接口不能配置IP地址。配置IP地址的接口所在的安全区域是三层区域,接口上启动VRRP功能,用于双机热备份;而未配置IP地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,转发过程与透明模式的工作过程完全相同。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。