一、防火墻部署方式有哪些

防(fang)火(huo)墻是為加強(qiang)網(wang)絡安(an)全防(fang)護能力在網(wang)絡中部署的硬件設(she)備，有(you)多種(zhong)部署方式，常見的有(you)橋模式、網(wang)關模式和NAT模式等。

1、橋模式

橋(qiao)(qiao)模式也(ye)可叫作(zuo)透明模式。最(zui)簡單的(de)網絡由(you)客(ke)戶(hu)(hu)端(duan)和(he)服(fu)務(wu)器(qi)組成，客(ke)戶(hu)(hu)端(duan)和(he)服(fu)務(wu)器(qi)處于(yu)同一網段(duan)。為(wei)了安(an)全(quan)方(fang)面的(de)考慮，在(zai)客(ke)戶(hu)(hu)端(duan)和(he)服(fu)務(wu)器(qi)之間(jian)增(zeng)加了防火墻(qiang)設備，對經過的(de)流量進行安(an)全(quan)控制。正常(chang)的(de)客(ke)戶(hu)(hu)端(duan)請求通(tong)過防火墻(qiang)送(song)達服(fu)務(wu)器(qi)，服(fu)務(wu)器(qi)將響應返回給客(ke)戶(hu)(hu)端(duan)，用戶(hu)(hu)不會(hui)感覺(jue)到中間(jian)設備的(de)存在(zai)。工作(zuo)在(zai)橋(qiao)(qiao)模式下(xia)的(de)防火墻(qiang)沒有IP地(di)址，當對網絡進行擴容時無需對網絡地(di)址進行重新規劃，但犧牲了路由(you)、VPN等功能。

2、網關模式

網關模式適用于內外網不在同一網段的情況，防火墻設置網(wang)關地址實現路(lu)由(you)器的(de)功能，為不同(tong)網(wang)段進行(xing)路(lu)由(you)轉發。網(wang)關模式相(xiang)比橋模式具(ju)備更高的(de)安(an)全(quan)性，在進行(xing)訪問控制(zhi)的(de)同(tong)時實現了安(an)全(quan)隔離(li)，具(ju)備了一定的(de)私密性。

3、NAT模式

NAT（Network Address Translation）地址(zhi)(zhi)(zhi)翻(fan)譯(yi)技術(shu)由(you)防火(huo)墻對內(nei)(nei)(nei)(nei)部(bu)(bu)網(wang)(wang)絡(luo)(luo)的(de)IP地址(zhi)(zhi)(zhi)進行地址(zhi)(zhi)(zhi)翻(fan)譯(yi)，使用防火(huo)墻的(de)IP地址(zhi)(zhi)(zhi)替換內(nei)(nei)(nei)(nei)部(bu)(bu)網(wang)(wang)絡(luo)(luo)的(de)源(yuan)地址(zhi)(zhi)(zhi)向外(wai)部(bu)(bu)網(wang)(wang)絡(luo)(luo)發送數(shu)據(ju)；當外(wai)部(bu)(bu)網(wang)(wang)絡(luo)(luo)的(de)響應數(shu)據(ju)流量返回到(dao)防火(huo)墻后(hou)，防火(huo)墻再將(jiang)目的(de)地址(zhi)(zhi)(zhi)替換為內(nei)(nei)(nei)(nei)部(bu)(bu)網(wang)(wang)絡(luo)(luo)的(de)源(yuan)地址(zhi)(zhi)(zhi)。NAT模式能(neng)夠實(shi)現(xian)外(wai)部(bu)(bu)網(wang)(wang)絡(luo)(luo)不能(neng)直接看到(dao)內(nei)(nei)(nei)(nei)部(bu)(bu)網(wang)(wang)絡(luo)(luo)的(de)IP地址(zhi)(zhi)(zhi)，進一(yi)步增強了對內(nei)(nei)(nei)(nei)部(bu)(bu)網(wang)(wang)絡(luo)(luo)的(de)安全防護。同時，在NAT模式的(de)網(wang)(wang)絡(luo)(luo)中，內(nei)(nei)(nei)(nei)部(bu)(bu)網(wang)(wang)絡(luo)(luo)可以(yi)使用私網(wang)(wang)地址(zhi)(zhi)(zhi)，可以(yi)解決(jue)IP地址(zhi)(zhi)(zhi)數(shu)量受限的(de)問(wen)題。

二、防火墻的三種工作模式介紹

1、路由模式：防火墻(qiang)以(yi)第(di)三層對外連接(jie)（接(jie)口具有IP地(di)址），此時可以(yi)完(wan)成ACL包過濾(lv)，ASPF動態(tai)過濾(lv)、NAT轉換(huan)等功(gong)能。

注：路由模式需要對網絡拓撲進行修(xiu)改。

2、透明模式：防火墻(qiang)以第二層對外連接（接口沒(mei)有IP地址），此時相當于交換機，部分防火墻(qiang)不支持STP。

3、混合模式：混合上面兩種。