防火墙的工作模式详解

防火墙的工作模式详解

Scroll Down

我们通常配置防火墙有用到三种模式:

  1. 路由模式,就是链接的接口需要配置IP,就算是路由模式
  2. 透明模式,防火墙的接口都不配做地址,全部portswitch成二层接口。
  3. 混合模式,这个实在需要使用VRRP的时候,两台防火墙相互连接接口是二层接口,其他的依然是三层IP接口。

1.jpg

防火墙模式

下来我们详细讲解一下这三种模式

路由模式

在这个模式底下防火墙应该是最完整的状态,当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,每个接口都是不同的子网,因此,需要从新规划原有的网络拓扑,此时相当于一台路由器。

但是, 防火墙与路由器存在不同, 防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。路由模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。

2.jpg

路由模式

如图所示,规划了2个安全区域:Trust区域和Untrust区域,设备的Trust区域接口与公司内部网络相连,Untrust区域接口与外部网络相连。

需要注意的是,Trust区域接口和Untrust区域接口分别处于两个不同的子网中。

IP路由的支持

防火墙充当连接的网络之间的路由器,并且每个接口需要不同子网上的IP地址。在单上下文模式下,路由防火墙支持OSPF和RIP。并且推荐使用路由协议代替大量的手工静态路由。

NAT地址转换持

NAT使用可在目标网络上路由的全局地址替换数据包上的本地地址。默认情况下,不需要NAT。如果要强制执行NAT策略,要求较高安全性接口(内部)上的主机在与较低安全性接口(外部)通信时使用NAT,则可以启用NAT控制。

NAT的一些好处包括:

  1. 您可以在内部网络上使用私人地址。私有地址不能在Internet上路由。
  2. NAT隐藏其他网络的本地地址,因此攻击者无法获知主机的真实地址。
  3. NAT可以通过支持重叠的IP地址来解决IP路由问题。

3.jpg

防火墙NAT

透明模式

透明模式指的是因为需要将防火墙的三层接口,配置成二层接口。防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN的2 层交换机或者桥接器,防火墙对于用户来说是透明的。 ** 透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点:**

  1. 不需要修改现有网络规划及配置;
  2. 不需要为到达受保护服务器创建映射或虚拟 IP 地址;
  3. 在防火墙的部署过程中,对防火墙的系统资源消耗最低。
  4. 透明防火墙模式的最佳之处在于它可以在单个和多个上下文模式下运行。
  5. 不是路由表查找,而是执行MAC查找。

4.jpg

透明模式

混合模式

混合模式主要存在于两台防火墙双机备份时,启用动VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)功能的接口需要配置IP 地址,其它接口不配置IP地址。

所有像这种防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下。

5.jpg

不过话说回来,即使要做双机备份,完全使用透明模式也是可以的,!

6.jpg

透明模式的双机备份

有问题的底下留言!