透明模式和路由模式

防火墙通过安全区域来划分网络,当报文在安全区域之间流动时,才会触发安全检查。

安全策略基于安全区域,不依赖物理接口,从而安全规则更加灵活

域(zone)分为二层安全域和三层安全域,一个域能有多个接口,一个接口只能属于一个域。

安全域分为trust、untrunst、dms、L2-trunst、L2-untrust、L2-dmz、VPN-Hub、HA,也可以自己定义新的安全域

StoneOS系统由 zones(l2和l3)  interfaces VSwitch Vrouter Policy

                    区域、接口、虚拟交换、虚拟路由、策略

了解这些我们来看路由模式

路由模式定义如果防火墙以第三层对外连接(接口具有IP地址),则认为防火墙在路由模式下

内网为trust外网为untrust 路由模式每一个接口都配置ip地址

防火墙位于内网与外网之间,外部网络以及DMZ三个区域相连的接口分别配置成不同网段的ip地址,重新规划原有的网络拓扑,此时相当于一台路由器

此时的防火墙在trust和untrust之间,两个区域在不同子网中,负责内网络、外部网络中进行路由寻址、相当于路由器。

采用路由模式的好处,支持最多的安全特征:可以完成ACL(包过滤),NAT转换,动态路由协议。

坏处:对原网络拓扑,带现有环境改动较大,必须重新规划ip地址

一般部署在需要进行路由转发的位置,如可以作为出口路由器或替换出口路由器,老防火墙场景

 

透明模式组网

透明模式的定义:若防火墙通过二层对外连接(接口无ip地址),则认为防火墙工作在透明模式

但在现有的网络环境中,添加一台防火墙 或者需要一台防火墙却不改变现有的网络环境 。

对于用户无法感知的到防火墙的存在。

此时防火墙放在主机与路由器之间,既不改变现网环境,有能有效部署防火墙

与路由模式相同的是,ip报文经过相关的过滤检查(但ip报文的源和目的地址不会改变),内网用户依旧收到防火墙的保护。接口为二层不需要配置ip地址

但我们的防火墙如何升级管理设备等操作那?

当然我们可以用e0/0接口进行离线管理等操作,有没有更简单的方法

在设备中有Vswitchif,当有接口放在二层接口中VSwitchif就up(启动),我们将VSwithchif设备为三层安全域(无法设置为二层安全域),配置ip地址与trust区同网段,让整个ip地址去访问外网即可。

优点:不改变现网环境,更灵活的部署,在网络中直接插入防火墙设备即可,无需修改任何已有的配置。不用规划ip

缺点:虽然不改变网络的环境,但损失一些功能vpn和路由以及nat等。

旁路模式

将已有的网络流量进行接口,只能作为检测,接口必须设置为TAP Zone才可以

功能只能用于检测,几乎不改变现网流量

混合模式:

如何防火墙具有工作在路由模式和透明模式的接口(某些接口具有ip地址,某些接口无ip地址),那么该防火墙工作在混合模式下

防火墙对外网为三层口,对内网为二层口。横向来看内网为可以为一个网段,可以通过二层通信,横向来看Vswitchif接口为内网二层的网关接口,从而达到内外网互通

相当于如图