![](https://csdnimg.cn/release/download_crawler_static/73402475/bg1.jpg)
防火墙工作模式简介
防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。如果防火墙以
第三层对外连接(接口具有 IP 地址),则认为防火墙工作在路由模式下;若防
火墙通过第二层对外连接(接口无 IP 地址),则防火墙工作在透明模式下;若
防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有 IP 地址,某
些接口无 IP 地址),则防火墙工作在混合模式下。
一、防火墙三种工作模式的简介
1、路由模式
当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外
部网络以及 DMZ 三个区域相连的接口分别配置成不同网段的 IP 地址,重新规
划原有的网络拓扑,此时相当于一台路由器。如下图所示,防火墙的 Trust 区域
接口与公司内部网络相连, Untrust 区域接口与外部网络相连。值得注意的是,
Trust 区域接口和 Untrust 区域接口分别处于两个不同的子网中。
采用路由模式时,可以完成 ACL 包过滤、 ASPF 动态过滤、 NAT 转换等
功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、
路由器需要更改路由配置等) ,这是一件相当费事的工作, 因此在使用该模式时
需权衡利弊。
2. 透明模式
如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,
此时防火墙对于子网用户和路由器来说是完全透明的。 也就是说, 用户完全感觉
不到防火墙的存在。
采用透明模式时, 只需在网络中像放置网桥( bridge )一样插入该防火墙设
备即可,无需修改任何已有的配置。与路由模式相同, IP 报文同样经过相关的
过滤检查(但是 IP 报文中的源或目的地址不会改变),内部网络用户依旧受到
防火墙的保护。防火墙透明模式的典型组网方式如下: