H3CSESecurity认证（社会培训）冗余资源H3CSESecurity认证（社会培训）冗余资源混合模式原理.docVIP

下载本文档

7
0
约3.53千字
约 9页
2021-08-01 发布于北京
举报
版权申诉

H3CSESecurity认证（社会培训）冗余资源H3CSESecurity认证（社会培训）冗余资源混合模式原理.doc

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

混合模式原理 1．三种工作模式 202.110.2.0/24 202.110.2.0/24 202.110.2.0/24 防火墙路由模式透明模式混杂模式外网内网图8-1 目前，防火墙可以工作在三种模式下：路由模式（缺省）透明模式混合模式如果防火墙以第三层对外连接（接口具有IP地址），则认为防火墙工作在路由器模式下，若防火墙通过第二层对外连接（接口无IP地址），则认为防火墙工作在透明模式下；若防火墙某些接口具有IP地址，某些接口无IP地址，即防火墙具有工作在路由模式的接口，又具有工作在透明模式下的接口。则防火墙工作在混合模式。 2. 路由模式当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配制成不同网络的IP地址，重新规划原有网络拓扑，此时相当于一台路由器。 202.110. 202.110.1.0/24 防火墙 10.110.1.254 202.110.2.1 202.110.2.0/24 内网外网路由模式图8-2 图8-2所示，防火墙的Trust区域接口与公司内部网络相连，Untrust接口与外部网络相连。Trust区域接口和Untrust区域接口分别处于两个不同的子网中。采用路由器模式时，可以完成ACL包过滤、ASPF状态过滤、 NAT转换等功能。然而，路由器模式需要对网络拓扑进行修改（内部网络用户需要更改网关，路由器需要更改路由配置等），这是一件相当费事的工作，因此在使用该模式时需要权衡利弊。 3. 透明模式如果防火墙工作在透明模式，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户来和路由器来说完全是透明的。也就是说，用户完全感觉不到防火墙的存在。透明模式工作时，只需在网络中像放置网桥（bridge）一样插入该secpath防火墙设备即可。无需修改任何已有的配置。与路由模式相同，IP报文同样经过相关的过滤检查（但是IP报文中的源和目标地址不会改变），内部网络用户仍旧受到防火墙的保护。注意：内网和外网必须处于同一子网，见图8-3. 202.110.2.0/24 202.110.2.0/24 防火墙 202.110.2.0/24 内网外网透明模式图8-3 采用透明模式，防火墙依据MAC地址表进行转发，地址表由MAC地址和接口两部分组成，透明模式防火墙必须获取MAC地址和接口的对应关系。当报文在二层区域的接口间进行转发时，需要根据报文的MAC地址来寻找出接口，此时防火墙表现为一个透明网桥。但是，防火墙与网桥存在不同，防火墙接收到的IP报文还需要送到上层去进行相关过滤处理，通过检查会话表或ACL规则以确定是否允许该报文通过。此外，还要完成其他防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查和流量监控等功能。目前Comware 3.4 E 1621以前的版本，支持路由和透明模式两种模式，但两种模式不能同时存在。 3.1 透明模式下获取地址表过程透明模式防火墙与物理网段相连时，会检测该物理网段上的所有以太网帧，一旦检测到某个接口上节点发来的以太网帧，就提取出该帧的源MAC地址，并将该MAC地址与接收该帧接口之间的对应关系加入到MAC地址表中。见图8-4，A、B、C和D四个工作站分布在两个局域网中，以太网段1与透明模式防火墙接口1相连，以太网段2与接口2相连。某一时刻，当工作站A向工作站B发送以太网帧时，透明模式防火墙和工作站B都将收到这个帧。接口1 接口1 接口2 工作站C 工作站D 工作站A 工作站B 00e0-fcbb-bbbb 00e0-fcaa-aaaa 00e0-fcaa-aaaa 00e0-fcbb-bbbb 以太网段1 以太网段2 00e0-fccc-cccc 00e0-fcdd-dddd 图8-4 透明防火墙收到这个以太网帧后，就知道工作站A与透明模式防火墙接口1相连（因为从接口1收到了该帧），于是工作站A的MAC地址与透明防火墙接口1之间的对应关系就被加入到MAC地址表中。当工作站B对工作站A的以太网帧做出响应后，透明模式防火墙也能检测工作站B回应的以太网帧，并知道工作站B也是与透明模式防火墙接口1 相连（因为从接口1收到了该帧），于是工作站B的MAC地址与透明防火墙接口1之间的对应关系也被加入到MAC地址表中，见图8-5. 接口接口1 接口2 工作站C 工作站D 工作站A 工作站B 00e0-fcbb-bbbb 00e0-fcaa-aaaa 00e0-fcaa-aaaa 00e0-fcbb-bbbb 以太网段1 以太网段2 00e0-fccc-cccc 00e0-fcdd-dddd MAC地址端口 00e0-fcaa-aaaa 1 00e0-fcbb-bbbb