多種配置方式

知識點(diǎn)：防火墻配置方式

一、模式

防火墻在實(shí)際的部署過程中主要有三種模式可供選擇，這三種模式分別是：基于TCP/IP協(xié)議三層的NAT模式；基于TCP/IP協(xié)議三層的路由模式；基于二層協(xié)議的透明模式。1、NAT模式當(dāng)Juniper防火墻入口接口（“內(nèi)網(wǎng)端口”）處于NAT模式時，防火墻將通往

Untrust

區(qū)（外網(wǎng)或者公網(wǎng)）的IP

數(shù)據(jù)包包頭中的兩個組件進(jìn)行轉(zhuǎn)換：源

IP

地址和源端口號。防火墻使用

Untrust

區(qū)（外網(wǎng)或者公網(wǎng)）接口的

IP

地址替換始發(fā)端主機(jī)的源

IP

地址；同時使用由防火墻生成的任意端口號替換源端口號。1、NAT模式NAT模式應(yīng)用的環(huán)境特征：注冊IP地址（公網(wǎng)IP地址）的數(shù)量不足；內(nèi)部網(wǎng)絡(luò)使用大量的非注冊IP地址（私網(wǎng)IP地址）需要合法訪問Internet；內(nèi)部網(wǎng)絡(luò)中有需要外顯并對外提供服務(wù)的服務(wù)器。2、Route-路由模式當(dāng)Juniper防火墻接口配置為路由模式時，防火墻在不同安全區(qū)間（例如：Trust/Utrust/DMZ）轉(zhuǎn)發(fā)信息流時IP

數(shù)據(jù)包包頭中的源地址和端口號保持不變（除非明確采用了地址翻譯策略）。

與NAT模式下不同，防火墻接口都處于路由模式時，防火墻不會自動實(shí)施地址翻譯；

與透明模式下不同，當(dāng)防火墻接口都處于路由模式時，其所有接口都處于不同的子網(wǎng)中。2、Route-路由模式路由模式應(yīng)用的環(huán)境特征：防火墻完全在內(nèi)網(wǎng)中部署應(yīng)用；NAT模式下的所有環(huán)境；需要復(fù)雜的地址翻譯。3、透明模式當(dāng)Juniper防火墻接口處于“透明”模式時，防火墻將過濾通過的IP數(shù)據(jù)包，但不會修改

IP數(shù)據(jù)包包頭中的任何信息。防火墻的作用更像是處于同一VLAN的2

層交換機(jī)或者橋接器，防火墻對于用戶來說是透明的。3、透明模式透明模式是一種保護(hù)內(nèi)部網(wǎng)絡(luò)從不可信源接收信息流的方便手段。使用透明模式有以下優(yōu)點(diǎn)：不需要修改現(xiàn)有網(wǎng)絡(luò)規(guī)劃及配置；不需要實(shí)施地址翻譯；可以允許動態(tài)路由協(xié)議、Vlan

trunking的數(shù)據(jù)包通過。

二、類型

目前防火墻產(chǎn)品非常之多，劃分的標(biāo)準(zhǔn)也比較雜。主要分類如下：

1.從軟、硬件形式上分為軟件防火墻和硬件防火墻以及芯片級防火墻。

2.從防火墻技術(shù)分為“包過濾型”和“應(yīng)用代理型”兩大類。

3.從防火墻結(jié)構(gòu)分為<單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

4.按防火墻的應(yīng)用部署位