一、防火墻部署方式有哪些
防火墻是為加強網(wǎng)絡安全防護能力在網(wǎng)絡中部署的硬件設備,有多種部署方式,常見的有橋模式、網(wǎng)關模式和NAT模式等。
1、橋模式
橋模式也可叫作透明模式。最簡單的網(wǎng)絡由客戶端和服務器組成,客戶端和服務器處于同一網(wǎng)段。為了安全方面的考慮,在客戶端和服務器之間增加了防火墻設備,對經(jīng)過的流量進行安全控制。正常的客戶端請求通過防火墻送達服務器,服務器將響應返回給客戶端,用戶不會感覺到中間設備的存在。工作在橋模式下的防火墻沒有IP地址,當對網(wǎng)絡進行擴容時無需對網(wǎng)絡地址進行重新規(guī)劃,但犧牲了路由、VPN等功能。
2、網(wǎng)關模式
網(wǎng)關模式適用于內(nèi)外網(wǎng)不在同一網(wǎng)段的情況,防火墻設置網(wǎng)關地址實現(xiàn)路由器的功能,為不同網(wǎng)段進行路由轉發(fā)。網(wǎng)關模式相比橋模式具備更高的安全性,在進行訪問控制的同時實現(xiàn)了安全隔離,具備了一定的私密性。
3、NAT模式
NAT(Network Address Translation)地址翻譯技術由防火墻對內(nèi)部網(wǎng)絡的IP地址進行地址翻譯,使用防火墻的IP地址替換內(nèi)部網(wǎng)絡的源地址向外部網(wǎng)絡發(fā)送數(shù)據(jù);當外部網(wǎng)絡的響應數(shù)據(jù)流量返回到防火墻后,防火墻再將目的地址替換為內(nèi)部網(wǎng)絡的源地址。NAT模式能夠實現(xiàn)外部網(wǎng)絡不能直接看到內(nèi)部網(wǎng)絡的IP地址,進一步增強了對內(nèi)部網(wǎng)絡的安全防護。同時,在NAT模式的網(wǎng)絡中,內(nèi)部網(wǎng)絡可以使用私網(wǎng)地址,可以解決IP地址數(shù)量受限的問題。
二、防火墻的三種工作模式介紹
1、路由模式:防火墻以第三層對外連接(接口具有IP地址),此時可以完成ACL包過濾,ASPF動態(tài)過濾、NAT轉換等功能。
注:路由模式需要對網(wǎng)絡拓撲進行修改。
2、透明模式:防火墻以第二層對外連接(接口沒有IP地址),此時相當于交換機,部分防火墻不支持STP。
3、混合模式:混合上面兩種。
