防火牆產品原理與應用：防火牆接入方式

目前主要的接入方式：交換方式，路由模式，混合模式，鏈路捆綁模式，撥號模式。

1，交換模式：

此模式下，防火牆所有接口都爲交換接口。對於同一VLAN的數據包在轉發時不做任何改動，包括IP和MAC地址，直接把包轉發出去。

當網絡已經建立併成熟運行，防火牆的接入是爲了增強現有網絡的防禦能力時一般採用此接入模式。因爲在這種模式下接入防火牆，對網絡通信造成的影響最少，能夠最小限度改動網絡節點的網絡屬性（網絡拓撲結構，網絡設備地址等）。

交換模式下通信，防火牆會很好的支持VLAN，交換接口的工作模式可以支持ACCESS和TRUNK。對於包的轉發，防火牆將不改變通信數據包的包頭信息，避免各個防火區域中應用設備管理地址的刷新。

防火牆能夠對協議進行深層次分析並且能夠識別，處理各類封裝格式，如802.1Q，QinQ,MPLS等，以便能夠在複雜的網絡環境下進行更靈活的接入，處理更多的情況。

（1）：對802.1Q封裝格式的處理

IEEE802.1Q俗稱“Dot One Q”,是經過IEEE認證的對數據幀附加VLAN識別信息的協議。

IEEE802.1Q所附加的VLAN識別信息位於數據幀中“發送源MAC地址”與“類別域”之間。具體位置爲2字節的TPID和2字節的TCI，共計4字節。在數據幀中添加4字節。在數據幀添加了4字節的內容，數據幀上CRC是插入TPID，TCI後對包括他們在內的整個數據幀重新計算後所得到的數值。當數據幀從防火牆接口轉發出去時TPID和TCI會被去除，這時還會進行一次CRC的重新計算。TPID的值固定爲0X8100.防火牆通過TPID來確定數據幀內附加了基於IEEE802.1Q的VLAN信息。實際的VLAN ID 是由TCI中12位的VLAN標識判斷。

（2）對QinQ的處理：

在IEEE802.1Q定義的VLAN Tag域中，只有12位用於表示VLAN ID，所以設備最多可以支持4094個VLAN。但在實際應用中，尤其是在城域網中，需要大量的VLAN來隔離用戶，4094個VLAN遠遠不能滿足需求，於是QinQ技術應運而生。

防火牆開啓端口的QinQ功能後，當該端口接收到報文，無論報文是否帶有VLAN標籤，防火牆都會爲該報文打上本端口ACCESS VLAN的VLAN標籤，如果是TRUNK口則會打上NATIVEVLAN的VLAN標籤。這樣，如果接受到已經帶有VLAN標籤。這樣，如果接收到的是帶有VLAN標籤的報文，該報文就成爲雙標籤的報文；如果接收到的是不帶VLAN標籤的報文，該報文就成爲帶有端口默認VLAN標籤的報文。

（3）對MPLS報文處理：

MPLS（多標籤協議交換）獨立於第二層和第三層協議，提供一種方式，將IP地址映射爲簡單的具有固定長度的標籤，用於不同的包轉發和包交換技術。

當防火牆工作在透明模式，開啓MPLS穿透功能時，對通過防火牆的MPLS報文進行安全策略控制；關閉MPLS穿透功能時，防火牆將直接轉發MPLS報文。當防火牆工作在路由模式，直接丟棄報文。

路由模式：

在這種模式下，防火牆類似於一臺路由器轉發數據包，將接受到數據包的源MAC地址替換爲相應接口的MAC地址，然後轉發。該模式適用於每個區域都不在同一個網段的情況。和路由器一樣，防火牆的每個接口均要根據區域規劃配置IP地址。同時，防火牆可以在設置了IP的VLAN之間路由轉發。

混合模式：

這個模式就是路由模式和交換模式的結合。

在很多用戶網絡中，網絡基礎設施的建設是先於網絡安全建設進行的，當用戶打算進行網絡安全建設時，往往會發現由於初期的網絡設計不周全而導致名關建應用是依賴於網絡拓撲的。因此在對這些關鍵應用進行安全防護時，安全設備必須採用交換模式，特別是透明模式接入，而對另外些應用 可能就要採用路由模式接入，這樣在同一個網關設備上就需要透明模式和路由模式共存。

      透明模式支持把同一網段的網絡區域劃分爲不同的防火區，主要適用於基於業務的IP分配方案，可以將同-應用 業務的服務器和客戶機通過同 網段連接起來，以提高整體網絡的通信性能，路由模式支持將路由信息轉發到其他防火區，減少防火牆應用帶來的網絡管理的工作量。網絡衛土防火牆路由模式提供完整的靜態路由功能，對於中小規模的內部網絡完全可以代替內網路由器。如果這兩種工作模式不能混合在一起同時 工作,用戶網絡將會出現由於被割裂而無法實施安全設備接入的困局。同時，防火牆支持NAT工作模式。防火牆甚至可以提供路由+透明+NAT混合模式，可以保證不會因爲引入安全需求而破壞用戶現有網絡的完整性，防火牆可以友好地支持網絡擴展，方便防火牆接入各種複雜的網絡環境，以滿足用戶網絡多樣化的部署需求。

鏈路捆綁模式：

鏈路捆綁是指將多個物理端口捆綁在一起， 成爲個邏輯端口， 以實現出/入流量在各成員端口中的負荷分擔。邏輯鏈路的帶寬增加了大約n-1倍(n爲聚合的路數)。聚合後，可靠性大大提高，因爲n條鏈路中只要有一條可以正常工作，則這個鏈路就可以工作。鏈路聚合還可以實現負載均衡。防火牆可以根據用戶配置的端口負荷分擔策略決定報文從哪一” 個成員端口發送到對端的交換機。當防火牆檢測到其中? -個成員端口的鏈路發生故障時，就停止在此端口發送報文，並根據負尚分擔策略在利下鏈路中重新計算報文發送的端口，故障端口恢復後再次重新計算報文發送端口。聚合鏈路可以通過預先設置的負載均衡算法將流量分配給聚合鏈路內不同的物理接口，實現鏈路級的負載均衡功能，也可防止單條班路轉發速率過低而出現丟包的現象。防火牆上參與聚合的物理接口具備相同的屬性，如相同的速度、單雙工模式等。

使用鏈路捆綁接入模式對網絡在增加鏈路帶寬、實現鏈路傳輸彈性和冗餘等方面是很有效的。