了解防火墙的模式及其选择

防火墙作为基础的平安装置，通过访问掌控可以约束黑客的访问范围，减少平安攻击面，降低不确定性。选择合适的防火墙模式是公司运维和管理者的必备技能。本文将带你了解防火墙的几种模式及如何选择合适的防火墙。

防火墙的模式有几种?

路由模式

在路由模式下，防火墙位于内部网络系统和外部网络系统之间，并与DMZ(非军事区)相连。这时，需要将防火墙的连接口分别配置成不同网段的IP地址，相当于一台路由器。

接通方式：Trust区域连接口接通内部网络系统，Untrust区域连接口接通外部网络系统。两个连接口处于不同的子网。

功能：可以实现ACL包过滤、ASPF动向过滤、NAT转换等。

注意事项：需要修改网络系统拓扑，如更改网关和路由配置，这可能比较繁琐。

明了模式

明了模式无需更改网络系统拓扑，对子网用户和路由器来说是完全明了的，用户感觉不到防火墙的存在。

接通方式：类似放置网桥，防火墙的Trust区域连接口接通内部网络系统，Untrust区域连接口接通外部网络系统，且必须在同一子网。

功能：与路由模式相同，进行IP报文的过滤诊断。

注意事项：不需要修改任何已有配置，安装方便。

混合模式

混合模式下，防火墙既有路由模式的连接口(具有IP地址)，也有明了模式的连接口(无IP地址)。

使用场景：主要用于双机备份。启动VRRP(虚拟路由冗余约定)功能的连接口配置IP地址，其他连接口不配置IP地址。

接通方式：主/备防火墙通过HUB或LAN Switch接通，运行VRRP约定进行备份。内部和外部网络系统必须处于同一子网。

哪种防火墙好?

硬件设施方面：

吞吐量和并发接通数：决定了防火墙处理信息的能力。三层(网络系统层)和七层(使用层)的吞吐量是主要指标。

网口数量和带宽：需要明确需要多少千兆电口、光口，以及是否需要万兆电口、光口。光口需考虑光模块化的类型(单模、多模)。

流量处理能力：确保效能冗余，建议日常高峰期流量的两倍。

网络系统层功能：

双机热备：通过VIP形式提供高可用性。

路由功能：援助RIP、OSPF、BGP等约定，以及策略解决方法路由。

网络系统访问掌控：援助分组、搜索、时光约束、黑白名单等。

NAT功能：援助NAT44、NAT66、NAT46等。

故障现象排查：提供ping、telnet、tracert、网页抓包等工具集。

其他功能：如DDNS、802.1x准入、VXLAN、SD-WAN等。

使用层功能：

访问掌控和审计：使用访问掌控及审计、域名访问掌控。

负载均衡：链路和服务质量水平端负载均衡。

VPN援助：IPsecVPN、SSLVPN。

平安检测防护功能：

入侵防御：IPS(入侵防御体系)。

病毒检测：AV病毒检测。

防御功能：DDoS防御、WEB使用防火墙、威胁情报阻断。

识别能力：检测弱点扫描、传送病毒文档、暴力破解、病毒邮件等。

技能援助服务质量水平能力：

响应时光：线下2小时内到现场解决问题，线上10分钟内回复讯息。

结语

防火墙提供了强劲的网络系统平安功能，可以监控和过滤进出网络系统的流量，具有防病毒和入侵防御的作用。在在线网络时代，选择合适的防火墙模式和功能至关主要，以确保公司网络系统的平安与稳固。