1、学防火墙必知的几个概念一、区域概念(接口区域)1、 TRUST 信任区域UNTRUST 非信任区域DMZ 非军事区2、INSIDE 信任区域OUSIDE 非信任区域DMZ 非军事区二、接口模式1. transparent 模式:(透明模式)在 transparent 模式下,设备检查通过防火墙的数据包,但并不改变 ip 包头中的任何源地址和目的地址信息。因为它不改变地址,所以保护网内的 ip 必须在 untrust 连接的网络内是有效且可寻路的,untrust 很可能就接互连网了。在 transparent 模式下,对于 trust 区和 untrust 区的 ip 地址就设为 0.0.0.0
2、,这样可以使防火墙在网络中不可见。但是,防火墙、vpn 和流量管理还是要通过配置设备的策略来生效。防火墙相当于一个 2 层交换机(2 层交换机本身是没有 ip 地址的) 。2. route 模式(路由模式)当设备处于 route 模式下,每一个接口都被设立为 route模式或 nat 模式。不像 transparent 模式,所有的网口都处于不同的子网当中。这个网口处理通过的流量时不nat,即 ip 包头中的源地址和端口号都保持不变3. NAT 模式:(地址转换模式)当一个网口处于 nat 模式,防火墙会把从 trust 口往外的ip 包中的源 ip 地址和源端口改掉,将源地址改为 untrust口的 ip 地址,而且,更换源端口为一个随机的产生的端口。Nat 模式,连接在 route 模式网口下的主机必须具有公网ip,没有任何映射和虚拟 ip 可以被建立起来。