防火墙的工作模式.pdfVIP

防火墙工作模式简介 工作模式介绍 目前，secpath 防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三 层对外连接（接口具有ip 地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口 无ip 地址），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接 口具有ip 地址，某些接口无ip 地址），则防火墙工作在混合模式下。下面分别进行介绍： 1. 路由模式 当secpath 防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及dmz 三 个区域相连的接口分别配置成不同网段的ip 地址，重新规划原有的网络拓扑，此时相当于一台路由器。如 下图所示，secpath 防火墙的trust 区域接口与公司内部网络相连，untrust 区域接口与外部网络相连。值 得注意的是，trust 区域接口和untrust 区域接口分别处于两个不同的子网中。 采用路由模式时，可以完成acl 包过滤、aspf 动态过滤、nat 转换等功能。然而，路由模式需要对网 络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置等），这是一件相当费事的工作， 因此在使用该模式时需权衡利弊。 2. 透明模式 如果secpath 防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于 子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到防火墙的存在。 采用透明模式时，只需在网络中像放置网桥（bridge）一样插入该secpath 防火墙设备即可，无需 改任何已有的配置。与路由模式相同，ip 报文同样经过相关的过滤检查（但是ip 报文中的源或目的地址 不会改变），内部网络用户依旧受到防火墙的保护。防火墙透明模式的典型组网方式如下： 如上图所示，secpath 防火墙的trust 区域接口与公司内部网络相连，untrust 区域接口与外部网络相 连，需要注意的是内部网络和外部网络必须处于同一个子网。 3. 混合模式 如果secpath 防火墙既存在工作在路由模式的接口（接口具有ip 地址），又存在工作在透明模式的接 口（接口无ip 地址），则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，此时 启动vrrp （virtual router redundancy protocol，虚拟路由冗余协议）功能的接口需要配置ip 地址， 其它接口不配置ip 地址。防火墙混合模式的典型组网方式如下： 如上图所示，主/备secpath 防火墙的trust 区域接口与公司内部网络相连，untrust 区域接口与外部 网络相连，主/备secpath 防火墙之间通过hub 或lan switch 实现互相连接，并运行vrrp 协议进行备份。 需要注意的是内部网络和外部网络必须处于同一个子网。 路由模式工作过程 secpath 防火墙工作在路由模式下，此时所有接口都配置ip 地址，各接口所在的安全区域是三层区域， 不同三层区域相关的接口连接的外部用户属于不同的子网。 当报文在三层区域的接口间进行转发时，根据报文的ip 地址来查找路由表，此时secpath 防火墙表现 为一个路由器。但是，secpath 防火墙与路由器存在不同，secpath 防火墙中ip 报文还需要送到上层进行 相关过滤等处理，通过检查会话表或acl 规则以确定是否允许该报文通过。此外，还要完成其它防攻击检 查。路由模式的防火墙支持acl 规则检查、aspf 状态过滤、防攻击检查、流量监控等功能。 透明模式工作过程 secpath 防火墙工作在透明模式（也可以称为桥模式）下，此时所有接口都不能配置ip 地址，接口所 在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。 当报文在二层区域的接口间进行转发时，需要根据报文的mac 地址来寻找出接口，此时secpath 防火 墙表现为一个透明网桥。但是，secpath 防火墙与网桥存在不同，secpath 防火墙中ip 报文还需要送到上 层进行相关过滤等处理，通过检查会话表或acl 规则以确定是否允许该报文通过。此外，还要完成其它防 攻击检查。透明模式的防火墙支持acl 规则检查、aspf 状态过滤、防攻击检查、流量监控等功能。 工作在透明模式下的secpath 防火墙在数据链路层连接局域网（lan），网络终端用户无需为连接网络 而对设备进行特别配置，就像lan switch 进行网络连接。透明模式工作过程分为