學防火牆必知的幾個概念

學防火牆必知的幾個概念

1、區域概念（接口區域）

1 、 TRUST    信任區域

   UNTRUST  非信任區域

   DMZ     非軍事區

 

 

 

2 、

INSIDE            信任區域

OUSIDE           非信任區域

DMZ             非軍事區

   

 

 

2、接口模式

1.    transparent 模式：（透明模式）

在 transparent 模式下，設備檢查經過防火牆的數據包，但並不改變 ip 包頭中的任何源地址和目的地址信息。由於它不改變地址，因此保護網內的 ip 必須在 untrust 鏈接的網絡內是有效且可尋路的， untrust 極可能就接互連網了。
在 transparent 模式下，對於 trust 區和 untrust 區的 ip 地址就設爲 0.0.0.0 ，這樣可使防火牆在網絡中不可見。可是，防火牆、 *** 和流量管理仍是要經過配置設備的策略來生效。防火牆至關於一個 2 層交換機（ 2 層交換機自己是沒有 ip 地址的）。

 

 

2.    route 模式（路由模式）
當設備處於 route 模式下，每個接口都被設立爲 route 模式或 nat 模式。不像 transparent 模式，全部的網口都處於不一樣的子網當中。這個網口處理經過的流量時不 nat ，即 ip 包頭中的源地址和端口號都保持不變

 

 

 

3.    NAT 模式：（地址轉換模式）
當一個網口處於 nat 模式，防火牆會把從 trust 口往外的 ip 包中的源 ip 地址和源端口改掉，將源地址改成 untrust 口的 ip 地址，並且，更換源端口爲一個隨機的產生的端口。

Nat 模式，鏈接在 route 模式網口下的主機必須具備公網 ip ，沒有任何映射和虛擬 ip 能夠被創建起來。