防火墙的工作模式

火作简工作模式介绍目前，secpath防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三层对外连接（接口具ip址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无ip地），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有ip地，某些接口无地址），则防火墙工作在混合模式下。下面分别进行介绍：1.路由模式当secpath防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及dmz个区域相连的接口分别配置成不同网段的地，重新规划原有的网络拓扑时相当于一台路由器如下图所示secpath防火墙的区域接口与公司内部络相连untrust域接口与外部网络相连值得注意的是，trust区域接口untrust域接口分别处于两个不同的子网中。采用路由模式时，可以完成acl包滤、aspf态过滤、换等功能。然而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置等），这是一件相当费事的工作，因此在使用该模式时需权衡利弊。2.透明模式如果secpath火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到防火墙的存在。采用透明模式时，只需在网络中像放置网桥（bridge）一插入该防火墙设备即可，无修改任何已有的配置。与路由模式相同，ip报同样经过相关的过滤检查（但ip报文中的源目的地址不会改变），内部网络用户依旧受到防火墙的保护。防火墙透明模式的典型组网方式如下：

如上图所示secpath火墙的域接口与公司内部网络相连untrust域接口与外部网络相连，需要注意的是内部网络和外部网络必须处于同一个子网。3.混合模式如果secpath火墙既存在工作在路由模式的接口（接口具ip地，又存在工作在透明模式的接口（接口无ip地址），则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，此时启动vrrpvirtualrouterredundancyprotocol，虚拟路由冗余协议）功能的接口需要配置ip地址，其它接口不配置ip地址。防火墙混合模式的典型组网方式如下：如上图所示，主/secpath防火墙trust域接口与公司内部网络相连untrust区域接口与外部网络相连，主/secpath防火墙之间通hub或lanswitch实现互相连接，并运行协议进行备份。需要注意的是内部网络和外部网络必须处于同一个子网。路由模式工作过程secpath火墙工作在路由模式下时所有接口都配置地址接口所在的安全区域是三层区域，不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时根据报文的ip地址来查找路由表此时火墙表现为一个路由器。但是，secpath防火与路由器存在不同，secpath防墙中报文还需要送到上层进行相关过滤等处理，通过检查会话表或则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。路由模式的防火墙支持则检查、aspf态过滤、防攻击检查、流量监控等功能。透明模式工作过程secpath火墙工作在透明模式（也可以称为桥模式）下，此时所有接口都不能配ip地，接口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时，需要根据报文的mac址来寻找出接口，此时secpath防火墙表现为一个透明网桥。但是，secpath防墙与网桥存在不同，secpath火墙中ip文还需要送到上层进行相关过滤等处理，通过检查会话表或则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持则检查、aspf态过滤、防攻击检查、流量监控等功能。工作在透明模式下的secpath火墙在数据链路层连接局域（lan，网络终端用户无需为连接网络而对设备进行特别配置，就像switch进网络连接。透明模式工作过程分为如下几个阶段：1.获取地址表过程采用透明模式，防火墙依据mac地表进行转发，地址表mac址和接口两部分组成，透明模式防火墙必须获取mac地址和接口的对应关。

(1)广消息包透明模式防火墙与物理网段相连时，会监测该物理网段上的所有以太网帧，一旦监测到某个接口上节点发来的以太网帧，就提取出该帧的源址，并将该mac地址与接收该帧接口之间的对应关系加入到mac地表中，如下图所示：abc和d个工作站分布在两个局域网中，以太网1透明模式防火墙接口连，以太网2与接口2相。某一时刻，当工作站a向工作站发送以太网帧时，透明模式防火墙和工作站b都收到这个帧。(2)反学习工作站a的址和端口对应关系透明模式防火墙收到这个以太网帧后，就知道工作站a与明模式防火墙接口相连（因为从接1收到了该帧），于是工作站的mac址与透明模式防火墙接1间的对应关系就被加入到mac址表中。如下图所示：

(3)反学习工作站b的址和端口对应关系当工作站b对工作站的太网帧作出响应后明模式防火墙也能监测到工作站b回应的以太网帧，并知道工作站b也是与透明模式防火接口1连的（因为从接口到了该帧），于是工作站b的mac地址与透明模式防火墙接口之间的对应关系也被加入到mac址表中。如下图所示：反向学习过程一直进行，直到所有mac地址与接口的对应系（本例中为工作站a、、cd，都会被透明模式防火墙获取（假设所有的工作站都在使用中）。2.转发和过滤在链路层，透明模式防火墙根据下列三种情况对数据帧作出转发或不转发（即过滤）处理：(1)查地址表成功后的转发处理若工作站a向工作站发以太网帧，透明模式防火墙通过查找地址表知道工作站c与接口应，则将该帧从接口2转发。如下图所示：

当透明模式防火墙在某接口接收到广播帧或多播帧时，向其它接口进行转发。(2)查地址表成功后的不转发（过滤）处理若工作站a向工作站发以太网帧，因工作站b工作站在同一个物理网段上，透明模式防火墙对此帧进行过滤，不转发该帧。(3)查地址表失败后的转发处理若工作站a向工作站发以太网帧，而在地址表中未找到关于工作站c的地址与接口的对关系，透明模式防火墙会如何处理呢？透明模式防火墙会把这个发往未知目的址的帧向除发送该帧的源接口外的其它所有接口进行转发。在这种情况下，透明模式防火墙充当的实际上是集线器的角色，确保没有使信息停止传送。如下图所示：

混合模式工作过程secpath火墙工作在混合透明模式下，此时部分接口配置ip地，部分接口不能配置ip地址。配置ip地的接口所在的安全区域是三层区域，接口上启vrrp能，用于双机热备份而配置