防火墙有个概念,是路由器交换机所没有的,叫“安全区域”。防火墙的工作模式主要定义了防火墙在网络中的部署方式、数据包的处理逻辑以及其自身的网络身份,主要可以分为以下三大类工作模式:
1. 路由模式(三层模式)
这是最传统和最常见的工作模式,需要做网络隔离和NAT,或者作为网络网关时选择路由模式。
工作原理:防火墙充当一个路由器。它拥有多个物理接口,每个接口都连接到不同的网络段(例如,内网、外网、DMZ区)。防火墙会根据其路由表,在不同网络之间转发数据包,并在转发过程中实施安全策略(如ACL、状态检测、入侵防御等)。
网络位置:部署在不同网络之间,作为网络的网关。
IP地址:防火墙的接口需要配置所在网段的IP地址。对于内网主机来说,防火墙就是它们的“下一跳”网关。
工作层次:主要在网络层(IP地址、路由)和传输层(端口)工作。
典型应用场景:作为企业网络的互联网出口网关,或在公司内部不同部门网络之间进行隔离。
2. 透明模式/桥接模式(二层模式)
在这种模式下,防火墙“隐身”在网络中,对用户来说是透明的。只想增强现有网络的安全性,不希望改动任何网络配置选择透明模式。
工作原理:防火墙充当一个智能网桥或交换机。它连接两个或多个网络段,但这些网络在逻辑上属于同一个广播域(即同一个IP子网)。防火墙在数据链路层(MAC地址)转发帧,并在转发过程中检查和过滤数据包。
网络位置:串联在网络中,像一根“导线”一样插入,无需改变现有IP规划。
IP地址:防火墙接口不需要配置IP地址(管理IP除外)。终端设备不知道防火墙的存在,它们的网关指向其他设备(如核心路由器或三层交换机)。
工作层次:主要在数据链路层(MAC地址)工作,但同样可以执行高层(三到七层)的安全检测。
典型应用场景:在已有的网络核心区域插入防火墙,用于监控和过滤内部流量;保护数据中心特定的服务器区域;当无法轻易改变现有网络IP地址规划时。
不管是路由模式还是透明模式,防火墙都能对经过防火墙的网络流量执行7层应用识别和状态检测、安全预访问控制、入侵防攻击检查以及流量监控和控制。
3. 旁路监听模式
为了保证重要业务连续不中断,且避免引入新的故障点,防火墙需要旁挂在核心交换机上面。旁路的部署通常只能对网络中的病毒起检测作用,不能阻断数据传输,上线简单而且无需改变网络结构。