《防火墙的工作模式873.pdf》由会员分享,可在线阅读,更多相关《防火墙的工作模式873.pdf(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 防火墙工作模式简介 3.1.1 工作模式介绍 目前,secpath 防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。如果防火墙以第三层对外连接(接口具有ip 地址),则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无 ip 地址),则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有ip 地址,某些接口无ip 地址),则防火墙工作在混合模式下。下面分别进行介绍:1.路由模式 当 secpath 防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及dmz 三个区域相连的接口分别配置成不同网段的ip 地址,重新规划原有
2、的网络拓扑,此时相当于一台路由器。如下图所示,secpath 防火墙的trust 区域接口与公司内部网络相连,untrust 区域接口与外部网络相连。值得注意的是,trust 区域接口和untrust 区域接口分别处于两个不同的子网中。采用路由模式时,可以完成acl 包过滤、aspf 动态过滤、nat 转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。2.透明模式 如果secpath 防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透
3、明的。也就是说,用户完全感觉不到防火墙的存在。采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该secpath 防火墙设备即可,无需修改任何已有的配置。与路由模式相同,ip 报文同样经过相关的过滤检查(但是ip 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。防火墙透明模式的典型组网方式如下:如上图所示,secpath 防火墙的trust 区域接口与公司内部网络相连,untrust 区域接口与外部网络相连,需要注意的是内部网络和外部网络必须处于同一个子网。3.混合模式 如果secpath 防火墙既存在工作在路由模式的接口(接口具有ip 地址),又存在工作在透明模
4、式的接口(接口无ip 地址),则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况,此时启动vrrp(virtual router redundancy protocol,虚拟路由冗余协议)功能的接口需要配置ip 地址,其它接口不配置ip 地址。防火墙混合模式的典型组网方式如下:如上图所示,主/备 secpath 防火墙的trust 区域接口与公司内部网络相连,untrust 区域接口与外部网络相连,主/备 secpath 防火墙之间通过hub 或 lan switch 实现互相连接,并运行vrrp 协议进行备份。需要注意的是内部网络和外部网络必须处于同一个子网。3.1.2 路由
5、模式工作过程 secpath 防火墙工作在路由模式下,此时所有接口都配置ip 地址,各接口所在的安全区域是三层区域,不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时,根据报文的ip 地址来查找路由表,此时secpath 防火墙表现为一个路由器。但是,secpath 防火墙与路由器存在不同,secpath 防火墙中ip 报文还需要送到上层进行相关过滤等处理,通过检查会话表或acl 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。路由模式的防火墙支持acl 规则检查、aspf 状态过滤、防攻击检查、流量监控等功能。3.1.3 透明模式工作过程 se
6、cpath 防火墙工作在透明模式(也可以称为桥模式)下,此时所有接口都不能配置ip 地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的mac 地址来寻找出接口,此时secpath 防火墙表现为一个透明网桥。但是,secpath 防火墙与网桥存在不同,secpath 防火墙中ip 报文还需要送到上层进行相关过滤等处理,通过检查会话表或acl 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持acl 规则检查、aspf 状态过滤、防攻击检查、流量监控等功能。工作在透明模式下的secpat
7、h 防火墙在数据链路层连接局域网(lan),网络终端用户无需为连接网络而对设备进行特别配置,就像lan switch 进行网络连接。透明模式工作过程分为如下几个阶段:1.获取地址表过程 采用透明模式,防火墙依据mac 地址表进行转发,地址表由mac 地址和接口两部分组成,透明模式防火墙必须获取mac 地址和接口的对应关系。(1)广播消息包 透明模式防火墙与物理网段相连时,会监测该物理网段上的所有以太网帧,一旦监测到某个接口上节点发来的以太网帧,就提取出该帧的源mac 地址,并将该mac 地址与接收该帧的接口之间的对应关系加入到 mac 地址表中,如下图所示:a、b、c 和 d 四个工作站分布在
8、两个局域网中,以太网段1 与透明模式防火墙接口1 相连,以太网段2与接口2 相连。某一时刻,当工作站a 向工作站b 发送以太网帧时,透明模式防火墙和工作站b 都将收到这个帧。(2)反向学习工作站a 的 mac 地址和端口对应关系 透明模式防火墙收到这个以太网帧后,就知道工作站a 与透明模式防火墙接口1 相连(因为从接口1收到了该帧),于是工作站a 的 mac 地址与透明模式防火墙接口1 之间的对应关系就被加入到mac 地址表中。如下图所示:(3)反向学习工作站b 的 mac 地址和端口对应关系 当工作站b 对工作站a 的以太网帧作出响应后,透明模式防火墙也能监测到工作站b 回应的以太网帧,并知
9、道工作站b 也是与透明模式防火墙接口1 相连的(因为从接口1 收到了该帧),于是工作站b 的 mac地址与透明模式防火墙接口1 之间的对应关系也被加入到mac 地址表中。如下图所示:反向学习过程一直进行,直到所有mac 地址与接口的对应关系(本例中为工作站a、b、c 和 d),都会被透明模式防火墙获取(假设所有的工作站都在使用中)。2.转发和过滤 在链路层,透明模式防火墙根据下列三种情况对数据帧作出转发或不转发(即过滤)处理:(1)查找地址表成功后的转发处理 若工作站a 向工作站c 发送以太网帧,透明模式防火墙通过查找地址表知道工作站c 与接口2 对应,则将该帧从接口2 转发。如下图所示:当透
10、明模式防火墙在某接口接收到广播帧或多播帧时,向其它接口进行转发。(2)查找地址表成功后的不转发(过滤)处理 若工作站a 向工作站b 发送以太网帧,因工作站b 与工作站a 在同一个物理网段上,透明模式防火墙对此帧进行过滤,不转发该帧。(3)查找地址表失败后的转发处理 若工作站a 向工作站c 发送以太网帧,而在地址表中未找到关于工作站c 的 mac 地址与接口的对应关系,透明模式防火墙会如何处理呢?透明模式防火墙会把这个发往未知目的mac 地址的帧向除发送该帧的源接口外的其它所有接口进行转发。在这种情况下,透明模式防火墙充当的实际上是集线器的角色,确保没有使信息停止传送。如下图所示:3.1.4 混
11、合模式工作过程 secpath 防火墙工作在混合透明模式下,此时部分接口配置ip 地址,部分接口不能配置ip 地址。配置 ip 地址的接口所在的安全区域是三层区域,接口上启动vrrp 功能,用于双机热备份;而未配置ip 地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,转发过程与透明模式的工作过程完全相同。请参见3.1.3 透明模式工作过程中的描述。当防火墙进行双机热备份时,转发过程类似路由模式的工作过程,请参见3.1.2 路由模式工作过程中的描述。H3C H3C SecPath F1800 相关内容:报价|参数|图片|论坛|评测