防火墙的几种部署模式和方法

防火墙的部署模式

路由模式

当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。

如下图所示，防火墙的Trust区域接口与公司内部网络相连，Untrust 区域接口与外部网络相连。值得注意的是，Trust 区域接口和Untrust 区域接口分别处于两个不同的子网中。

采用路由模式时，可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置等），这是一件相当费事的工作，因此在使用该模式时需权衡利弊。

透明模式

如果防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到防火墙的存在。

采用透明模式时，只需在网络中像放置网桥（bridge）一样插入该防火墙设备即可，无需修改任何已有的配置。与路由模式相同，IP 报文同样经过相关的过滤检查（但是IP 报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。防火墙透明模式的典型组网方式如下：

如上图所示，防火墙的Trust 区域接口与公司内部网络相连，Untrust 区域接口与外部网络相连，需要注意的是内部网络和外部网络必须处于同一个子网。

混合模式

如果防火墙既存在工作在路由模式的接口（接口具有IP 地址），又存在工作在透明模式的接口（接口无IP 地址），则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，此时启动VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）功能的接口需要配置IP 地址，其它接口不配置IP地址。

防火墙混合模式的典型组网方式如下：

如上图所示，主/备 防火墙的Trust 区域接口与公司内部网络相连，Untrust区域接口与外部网络相连，主/备防火墙之间通过HUB 或LAN Switch 实现互相连接，并运行VRRP 协议进行备份。需要注意的是内部网络和外部网络必须处于同一个子网。

防火墙的部署方法

包过滤路由器

包过滤防火墙功能的路由器

• 内网与外网的唯一连接点
• 路由+ACL

优势

• 成本低

• 易于使用

缺点

• 路由器被攻破，内网完全暴露

• 内部信息对外公开，可攻击开放的服务和主机

双宿主堡垒机

使用应用代理网关作为双宿主堡垒主机

• 一个网卡使用公网ip地址连接外部网络

• 一个网卡使用私有ip地址连接内部网络

• 由应用的代理服务器为特定的网络应用提供代理

优点

• 对外屏蔽内网信息、用户级身份认证和行为审计

缺点

• 内网对外访问过于严格
• 一旦堡垒主机被攻破，内网完全暴露

屏蔽主机

结合包过滤防火墙和应用层代理

• 两层安全防护
• 包过滤防火墙：网络层的访问控制
• 应用层代理堡垒主机：进行应用安全控制

优点

• 双重安全可靠设计

缺点

• 对外开放服务器成弱点

屏蔽子网

屏蔽子网：DMZ区

• 应用代理及对外服务器
• 三层安全防护：外网防火墙，应用层代理，内网防火墙

防火墙部署结构

• 可信网络与不可信网络之间
• 不同安全级别的网络之间
• 两个需要隔离的区域之间

防火墙的部署方式

单防火墙部署方式（有DMZ ）

单防火墙部署方式（无DMZ ）

双防火墙部署方式