一、区域概念(接口区域)
1、TRUST 信任区域
UNTRUST 非信任区域
DMZ 非军事区
2、
INSIDE 信任区域
OUSIDE 非信任区域
DMZ 非军事区
二、接口模式
1. transparent模式:(透明模式)
在transparent模式下,设备检查通过防火墙的数据包,但并不改变ip包头中的任何源地址和目的地址信息。因为它不改变地址,所以保护网内的ip必须在untrust连接的网络内是有效且可寻路的,untrust很可能就接互连网了。
在transparent模式下,对于trust区和untrust区的ip地址就设为0.0.0.0,这样可以使防火墙在网络中不可见。但是,防火墙、vpn和流量管理还是要通过配置设备的策略来生效。防火墙相当于一个2层交换机(2层交换机本身是没有ip地址的)。
2. route模式(路由模式)
当设备处于route模式下,每一个接口都被设立为route模式或nat模式。不像transparent模式,所有的网口都处于不同的子网当中。这个网口处理通过的流量时不nat,即ip包头中的源地址和端口号都保持不变
3. NAT模式:(地址转换模式)
当一个网口处于nat模式,防火墙会把从trust口往外的ip包中的源ip地址和源端口改掉,将源地址改为untrust口的ip地址,而且,更换源端口为一个随机的产生的端口。
Nat模式,连接在route模式网口下的主机必须具有公网ip,没有任何映射和虚拟ip可以被建立起来。
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。
