學防火牆必知的幾個概念
一、區域概念(接口區域)
1、TRUST 信任區域
UNTRUST 非信任區域
DMZ 非軍事區
![]()
![]()
2、
INSIDE 信任區域
OUSIDE 非信任區域
DMZ 非軍事區
![]()
二、接口模式
1. transparent模式:(透明模式)
在transparent模式下,設備檢查通過防火牆的數據包,但並不改變ip包頭中的任何源地址和目的地址信息。因爲它不改變地址,所以保護網內的ip必須在untrust連接的網絡內是有效且可尋路的,untrust很可能就接互連網了。
在transparent模式下,對於trust區和untrust區的ip地址就設爲0.0.0.0,這樣可以使防火牆在網絡中不可見。但是,防火牆、vpn和流量管理還是要通過配置設備的策略來生效。防火牆相當於一個2層交換機(2層交換機本身是沒有ip地址的)。
![]()
2. route模式(路由模式)
當設備處於route模式下,每一個接口都被設立爲route模式或nat模式。不像transparent模式,所有的網口都處於不同的子網當中。這個網口處理通過的流量時不nat,即ip包頭中的源地址和端口號都保持不變
![]()
3. NAT模式:(地址轉換模式)
當一個網口處於nat模式,防火牆會把從trust口往外的ip包中的源ip地址和源端口改掉,將源地址改爲untrust口的ip地址,而且,更換源端口爲一個隨機的產生的端口。
Nat模式,連接在route模式網口下的主機必須具有公網ip,沒有任何映射和虛擬ip可以被建立起來。
![]()
![]()
一、區域概念(接口區域)
1、TRUST 信任區域
UNTRUST 非信任區域
DMZ 非軍事區
2、
INSIDE 信任區域
OUSIDE 非信任區域
DMZ 非軍事區
二、接口模式
1. transparent模式:(透明模式)
在transparent模式下,設備檢查通過防火牆的數據包,但並不改變ip包頭中的任何源地址和目的地址信息。因爲它不改變地址,所以保護網內的ip必須在untrust連接的網絡內是有效且可尋路的,untrust很可能就接互連網了。
在transparent模式下,對於trust區和untrust區的ip地址就設爲0.0.0.0,這樣可以使防火牆在網絡中不可見。但是,防火牆、vpn和流量管理還是要通過配置設備的策略來生效。防火牆相當於一個2層交換機(2層交換機本身是沒有ip地址的)。
2. route模式(路由模式)
當設備處於route模式下,每一個接口都被設立爲route模式或nat模式。不像transparent模式,所有的網口都處於不同的子網當中。這個網口處理通過的流量時不nat,即ip包頭中的源地址和端口號都保持不變
3. NAT模式:(地址轉換模式)
當一個網口處於nat模式,防火牆會把從trust口往外的ip包中的源ip地址和源端口改掉,將源地址改爲untrust口的ip地址,而且,更換源端口爲一個隨機的產生的端口。
Nat模式,連接在route模式網口下的主機必須具有公網ip,沒有任何映射和虛擬ip可以被建立起來。
