防火墙以透明模式部署到路由器和三层交换机之间

浅谈防火墙配置中路由模式和透明模式的区别与应用作者：黄安祥来源：《消费导刊》2018年第17期所谓防火墙，指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，“防火墙”，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

路由器和防火墙和相比，都属于网关设备，可以支持网络的各种应用，在差异性上有设计思路和实现方式的不同。

Router是作为一种“网络连通手段”，保证网络互连互通为主；Firewall 是作为一种“网络隔离手段”，隔离网络异常数据为主。

Router：能正确转发包的设备是路由器：Firewall：能正确丢包的设备是防火墙。

一、防火墙配置里的工作模式一般硬件防火墙有路由模式、网桥模式、混合模式，路由模式连接不同网段，防火墙有实际的地址，网桥模式即透明模式，连接相同网段，防火墙没有地址，内网用户看不到防火墙的存在，隐蔽性较好，混合模式即在网络拓扑里同时用到了路由和网桥模式，网桥模式也叫透明模式，是指防火墙的功能类型于交换机，进行二层转发，英文有transparent（透明）和bridge 两种叫法，但transparent的说法更加贴切，因为上面有多个端口，而网桥则是典型的只有2个端口。

路由模式是指防火墙的功能类型于路由器，提供路由转发功能，大多时候也会使用NAT功能，进行报文的三层转发。

实验V3防火墙透明模式（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/0quit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 六、实验思考：1、当需要管理F1000-S防火墙时，我们需要登录bridge-template接口，请考虑这个时候对内网S3100交换机有什么特殊要求？1.3 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

防火墙透明模式典型配置举例防火墙透明模式是一种常见的网络安全配置，它允许防火墙在网络上作为透明的桥接设备，无需修改网络设备的IP地址和配置，对所有网络流量进行过滤和监控。

本文将以一个典型的企业网络环境为例，详细介绍防火墙透明模式的配置。

1.网络拓扑假设企业网络中有一个内部局域网（LAN）和一个外部网络（WAN），分别连接到防火墙的两个接口。

内部局域网的网段为192.168.0.0/24，防火墙的局域网接口IP地址为192.168.0.1；外部网络的网段为202.100.100.0/24，防火墙的广域网接口IP地址为202.100.100.1、防火墙的透明模式设置在两个接口之间。

2.配置步骤（1）配置局域网接口IP地址：登录防火墙管理界面，在网络设置中找到局域网接口，设置IP地址为192.168.0.1，子网掩码为255.255.255.0。

这样，防火墙就可以与内部网络通信。

（2）配置广域网接口IP地址：同样在网络设置中找到广域网接口，设置IP地址为202.100.100.1，子网掩码为255.255.255.0。

这样，防火墙就可以与外部网络通信。

（3）配置透明模式：在防火墙的透明模式设置中，将局域网接口和广域网接口进行桥接。

在桥接配置中，选择透明模式，并将局域网接口和广域网接口绑定在一个桥接组中。

（4）配置ACL（访问控制列表）：通过ACL可以定义防火墙的过滤规则，控制允许和禁止的流量。

例如，可以设置允许内部网络对外访问的规则，禁止特定IP地址的访问规则等。

在防火墙管理界面的策略设置中，创建相应的ACL规则。

（5）配置NAT（网络地址转换）：NAT可以将内部网络的私有IP地址映射为公共IP地址，实现内部网络对外部网络的访问。

在防火墙的NAT设置中，配置相应的NAT规则。

（6）配置日志功能：在防火墙中启用日志功能，记录所有的网络流量和安全事件。

可以将日志信息发送到指定的日志服务器，方便网络管理员进行监控和分析。

透明模式防火墙在防火墙系统7.0及其后续版本中，引入了用安全网桥模式作为二层设备来部署安全设备的方法，以此提供从第2层到第7层的丰富防火墙服务。

在透明模式下，安全设备会以"额外添加设备（bump in the wire ）"的形式存在，而不会被计算进路由的跳数中。

因此也就不需要对IP网络（第3层地址方案）重新进行设计。

安全设备的内部接口和外部接口连接在同一个网络（IP子网）中。

如果这个内部接口和外部接口连接在同一台交换机上的话，就要把它们放在不同的二层网络中（可以给这两个接口分配不同的VLAN号，或者用不同的交换机连接它们）。

这样做可以从本质上把网络分成两个二层网段，安全设备位于这两个网段之间充当网桥，而网络的第3层结构则没有发生变化。

客户只能被连接到两台相互分离的交换机之一（而无法以任何方式与另一台相连）。

图6-3对此作出了进一步的说明。

即使防火墙处于网桥模式中，仍然需要对其配置ACL来对穿越防火墙的三层流量实施控制和放行。

但ARP流量除外，它不需要使用ACL来匹配，因为它可以用防火墙的ARP监控功能（ARP inspection）进行控制。

透明模式不能为穿越设备的流量提供IP路由功能，因为它处于网桥模式中。

静态路由是用来为这台设备始发流量服务的，不适用于穿越这台设备的流量。

不过，只要防火墙的ACL 有相应的匹配条目，那么IP路由协议数据包是可以通过这个防火墙的。

OSPF、RIP、EIGRP、BGP都可以穿越透明模式的防火墙建立临接关系。

当防火墙运行在透明模式时，它仍然对数据进行状态化监控和应用层检测，它也仍然可以实现所有普通防火墙的功能，比如NA T。

配置NA T可以在防火墙系统8.0及后续版本中实现，在此之前的版本中，则不支持在透明模式下实现NA T的功能。

出站数据包要从哪个接口转发出去是通过防火墙查询MAC地址，而不是路由表实现的。

透明模式下的防火墙只有一个IP地址必须配置，那就是管理IP。

防火墙的透明模式和透明代理服务器教程电脑资料防火墙在计算机网络安全中扮演着非常重要的角色。

它可以帮助监控和管理网络流量，保护计算机网络免受恶意攻击和未经授权的访问。

而防火墙的透明模式和透明代理服务器是其中两个重要的概念。

本文将详细解释防火墙的透明模式和透明代理服务器的原理，并介绍它们的设置和配置。

一、透明模式防火墙的透明模式是指在网络中拦截和过滤数据包时，对网络用户和应用程序来说是不可察觉的。

换句话说，透明模式下的防火墙不会对数据包进行任何的修改或干预。

它像一个“隐形”的墙壁，无论数据包是进入还是离开网络，都会被透明模式的防火墙检查和过滤。

在透明模式下，防火墙通常被部署为一个网桥。

这意味着它有两个网络接口，一个连接到内部网络，一个连接到外部网络。

防火墙会监听通过它的数据包流量，并根据预设的策略来判断是否允许或拒绝数据包通过。

用户和应用程序在没有任何感知的情况下，可以自由地发送和接收数据。

透明模式的防火墙通常还具备一些高级功能，如入侵检测系统（Intrusion Detection System，IDS）和虚拟专用网（Virtual Private Network，VPN）功能等。

它们能够帮助检测和防范网络攻击、黑客入侵等安全威胁。

二、透明代理服务器透明代理服务器（Transparent Proxy Server）是一种在网络通信中起到中间人角色的服务器。

在用户和目标服务器之间建立连接时，所有的请求和响应都需要经过透明代理服务器。

用户认为它们直接与目标服务器通信，而不知道自己实际上是在与代理服务器通信。

透明代理服务器通常用于网络缓存、访问控制、流量管理等用途。

它可以帮助优化网络通信，并提高网络性能。

同时，透明代理服务器还可以过滤和检测网络流量，防止恶意攻击、病毒传播和未经授权的访问。

设置和配置透明代理服务器通常需要以下几个步骤：1. 选择和安装合适的代理服务器软件。

常见的透明代理服务器软件有Squid、Nginx和Apache等。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

防火墙透明或路由模式的更改
一、登陆防火墙 (1)
1. 查看防火墙端口IP: show system interface (1)
2. 登陆防火墙的计算机的IP地址要和防火墙网口的IP地址在同一网段 (2)
二、更改防火墙模式 (3)
一、登陆防火墙
1. 查看防火墙端口IP: show system interface
2. 登陆防火墙的计算机的IP地址要和防火墙网口的IP地址在同一网段例：防火墙网口的IP地址为：192.168.30.1
计算机的IP地址可设为：192.168.30.100
登陆防火墙在IE里输入：https://192.168.30.1
用户名：administrator
密码：administrator
二、更改防火墙模式
Transparent为透明模式
注:UTM目前只支持透明和路由模式,不支持混合模式
UTM的透明模式为纯透明模式,不能做NA T,不做路由
切换到透明模式后,防火墙将恢复出厂配置,重启
防火墙的默认管理地址更改为:10.10.10.1/24,管理主机ip配置为同一网段即可。

透明网桥模式防火墙配置透明网桥模式是一种常用于防火墙配置的网络架构。

它能够提供更高的灵活性和可配置性，并且可以无缝地集成到现有的网络环境中。

在这种模式下，防火墙实际上是一个透明的设备，不需要对网络中的其他设备进行任何的配置更改。

下面是一个基于透明网桥模式的防火墙配置的示例，重点介绍了一些重要的配置步骤和注意事项。

1.网络拓扑规划：首先需要规划网络拓扑，确定防火墙的位置和连接方式。

在透明网桥模式下，防火墙通常被放置在内部网络和外部网络之间的物理链路上，作为网络流量的桥接点。

2.配置防火墙：根据网络拓扑规划，为防火墙配置IP地址和其他必要的网络参数。

确保防火墙的固件和软件是最新的，并配置相关的安全策略。

3.物理连接：将防火墙的内部接口和外部接口分别连接到内部网络和外部网络上的交换机或路由器。

确保连接线路正常并且连接稳定。

4.IP地址分配：为防火墙的内部接口和外部接口分别分配独立的IP地址。

确保内部和外部接口的IP地址是在不同的网络段中，并且与已有设备的IP地址不冲突。

5.配置透明网桥：在防火墙上配置透明网桥，并指定内部接口和外部接口。

透明网桥将内部网络和外部网络桥接起来，实现数据的透明传输。

配置透明网桥时需要注意避免造成网络环路。

6.安全策略配置：配置防火墙的安全策略，包括访问控制列表（ACL）、入侵检测和防御系统（IDS/IPS）等。

根据实际需求和网络环境，制定和实施相应的安全策略，确保网络安全。

7.流量监控和日志记录：配置防火墙的流量监控和日志记录功能，可以实时和事后审计网络流量，并及时发现和处理潜在的安全威胁。

8.测试和优化：在配置完成后，进行测试验证防火墙的功能和性能。

通过对网络流量和安全策略的实际测试，发现和解决可能存在的问题，并进行必要的优化。

透明网桥模式的防火墙配置需要在网络规划、物理连接、IP地址分配、透明网桥配置、安全策略配置、流量监控、日志记录以及测试和优化等方面进行细致的配置和调整。

实验V3防火墙基本配置（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、xx四、配置步骤基本配置1.基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2.将防火墙加入到网络中，进行防火墙的基本配置3.将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustquitfirewall zone untrust //外网口加入untrustquit2、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1//设置管理地址ip address 192.168.1.100 255.255.255.0quit//将接口加入桥组bridge-set 1quitbridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1//管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0（这是防火墙的管理IP地址）（进入WAN口）promiscuous （配置为透明传输）quit（进入LAN口）promiscuous （配置为透明传输）quitfirewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

防火墙的透明模式防火墙透明模式是一种网络安全技术，其主要目的是在不对网络流量做任何修改的情况下，对网络进行监控和检查，以保护网络免受各种威胁。

在防火墙透明模式下，网络中的所有流量都会通过防火墙进行传递，但与普通防火墙不同的是，在透明模式下，网络流量的路由是无法察觉的，即外部用户无法察觉到网络流量被防火墙处理过。

防火墙透明模式的主要工作原理如下：1.路由配置：在防火墙和网络中的其他设备之间进行正确的路由配置。

这样，所有的网络流量都会被自动重定向到防火墙，而不会对网络流量的路由造成任何影响。

2.透明桥接：防火墙通常会通过透明桥接的方式接管网络流量，即将网络流量原封不动地转发给目标设备，同时在转发过程中进行监控和检查。

透明桥接可以实现无害的网络流量传递。

3.无IP更改：透明模式下的防火墙不会对网络流量的IP地址进行任何更改操作。

这意味着，外部用户无法察觉到网络流量被防火墙处理过，从而增加了攻击者进行攻击的难度。

4.网络监控和检查：透明模式下的防火墙会监控和检查网络流量，以识别和阻止任何潜在的威胁。

它可以根据预设规则对流量进行分析，例如检测恶意软件，过滤垃圾邮件，防御拒绝服务攻击等。

防火墙透明模式的优点包括：1.无需客户端配置：由于防火墙在网络中的传输是透明和无感知的，所以无需在客户端设备上进行任何额外的配置。

这样可以简化网络管理，并减少可能的配置错误。

2.网络兼容性：透明模式的防火墙可以与任何网络设备和协议兼容，无需进行任何修改。

这使得防火墙的部署和维护更加灵活和方便。

3.安全性高：透明模式不会对网络流量的路由和源IP地址进行更改，使得外部用户无法轻易地绕过防火墙进行攻击。

与此同时，防火墙将持续监控和检查网络流量，提高了网络的安全性。

4.部署简便：在透明模式下，防火墙可以在网络中的任何位置进行部署，而不会对网络的结构和性能产生任何影响。

这为网络管理员提供了更多的灵活性和便捷性。

然而，防火墙透明模式也存在一些局限性和挑战。

SonicWall防火墙透明模式配置（三层交换机）用户要求防火墙配置成透明模式接入到网络，要求达到的配置
如下图示
配置步骤：
1、配置防火墙WAN网卡
2、建立透明模式下的地址对象
（注意：透明范围不能够包含了防火墙本身的地址（192.168.254.21）以及防火墙的网关地址(192.168.254.1) ，同时也不能够包含防火墙WAN口外面的地址，即如果防火墙WAN外面还有其他的地址如192.168.254.200 则Transparent Range 不能够包含该地址, 否则可能会引发安全问题！！）
3、建立内网地址对象（注意：本范例中仅示例了2 个内网网段，可根据实际情况增加）
4、建立地址对象组
5、配置内网3 层交换机的地址对象
6、配置完成后的界面显示如下：
7、配置内网地址访问外网的回程路由（必须配置！！）
8、配置防火墙LAN网卡配置透明模式
9、关闭防火墙DHCP服务器
配置完成！。

华为路由器+华为防火墙+华为三层交换机，防火墙部署为透明模式按照某企业要求，出口网关设备选择了华为路由器AR2240，中间是华为的硬件防火墙USG6330，然后是华为的三层交换机S5720，最下面一层是华为的二层交换机，或者直连PC。

废话不多说，先上拓扑图：华为AR2240路由器的关键配置如下：interface GigabitEthernet0/0/0ip address 222.92.XX.50 255.255.255.0 *为接口配置外网IP interface GigabitEthernet0/0/1ip address 100.1.2.2 255.255.255.0 *为接口配置内网IPip route-static 0.0.0.0 0.0.0.0 222.92.XX.49 *配置默认路由，指向运营商给的网关ip route-static 192.168.10.0 255.255.255.0 100.1.2.1 *配置静态路由，指明到达内网的路径（因为防火墙是透明模式，所以当它不存在，这里直接配置为三层交换机上面的VLAN IP）华为USG6330的防火墙配置如下：1、将内网接口配置为交换模式，安全区域选择Trust，连接类型为Access，选择访问Vlan100；2、将外网接口同样配置为交换模式，安全区域选择Untrust，连接类型为Access，选择访问Vlan100；3、配置安全策略：允许内网用户访问internet互联网；4、配置源NAT，即配置内网到外网的NAT策略；华为三层交换机的的关键配置如下：interface Vlanif10ip address 192.168.10.1 255.255.255.0 *配置VLAN10的IP 地址interface Vlanif100ip address 100.1.2.1 255.255.255.0 *配置VLAN100的 IP地址interface GigabitEthernet0/0/1 *配置端口模式及所在的VLAN port link-type accessport default vlan 100interface GigabitEthernet0/0/2 *配置端口模式及所在的VLANport link-type accessport default vlan 10ip route-static 0.0.0.0 0.0.0.0 100.1.2.2 *配置默认路由，指向路由器的内网 IP（同样是当防火墙不存在，直接跳到路由器上）电脑验证一下，配置是否生效：ping 路由器的外网IP，ping电信运营商的网关IP，都通了，表示配置正确。

【网络安全】：网络安全基础知识点汇总今天小编为大家整理了一些关于网络安全基础的知识点，下面我们一起来看看吧定义 :相信大家都知道防火墙是干什么用的，我觉得需要特别提醒一下，防火墙抵御的是外部的攻击，并不能对内部的病毒 ( 如ARP病毒 ) 或攻击没什么太大作用。

功能 :防火墙的功能主要是两个网络之间做边界防护，企业中更多使用的是企业内网与互联网的 NAT、包过滤规则、端口映射等功能。

生产网与办公网中做逻辑隔离使用，主要功能是包过滤规则的使用。

部署方式 :网关模式、透明模式 :网关模式是现在用的最多的模式，可以替代路由器并提供更多的功能，适用于各种类型企业透明部署是在不改变现有网络结构的情况下，将防火墙以透明网桥的模式串联到企业的网络中间，通过包过滤规则进行访问控制，做安全域的划分。

至于什么时候使用网关模式或者使用透明模式，需要根据自身需要决定，没有绝对的部署方式。

需不需要将服务器部署在 DMZ区，取决于服务器的数量、重要性。

总之怎么部署都是用户自己的选择!高可用性 :为了保证网络可靠性，现在设备都支持主 - 主、主- 备，等各种部署(2)防毒墙定义:相对于防火墙来说，一般都具有防火墙的功能，防御的对象更具有针对性，那就是病毒。

功能 : 同防火墙，并增加病毒特征库，对数据进行与病毒特征库进行比对，进行查杀病毒。

部署方式 :同防火墙，大多数时候使用透明模式部署在防火墙或路由器后或部署在服务器之前，进行病毒防范与查杀(3)入侵防御 (IPS)定义 :相对于防火墙来说，一般都具有防火墙的功能，防御的对象更具有针对性，那就是攻击。

防火墙是通过对五元组进行控制，达到包过滤的效果，而入侵防御 IPS，则是将数据包进行检测 (深度包检测 DPI)对蠕虫、病毒、木马、拒绝服务等攻击进行查杀。

功能 :同防火墙，并增加 IPS 特征库，对攻击行为进行防御。

部署方式 :同防毒墙。

特别说明一下 : 防火墙允许符合规则的数据包进行传输，对数据包中是否有病毒代码或攻击代码并不进行检查，而防毒墙和入侵防御则通过更深的对数据包的检查弥补了这一点。

【电脑知识】：防火墙的三种工作模式是什么？今天小编为大家带来的是关于防火墙的三种工作模式介绍，下面我们一起来看看吧!防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。

如果防火墙以第三层对外连接(接口具有IP 地址)，则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无IP 地址)，则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP 地址，某些接口无IP 地址)，则防火墙工作在混合模式下。

防火墙三种工作模式的简介1、路由模式当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。

如下图所示，防火墙的Trust区域接口与公司内部网络相连，Untrust 区域接口与外部网络相连。

值得注意的是，Trust 区域接口和Untrust 区域接口分别处于两个不同的子网中。

采用路由模式时，可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。

然而，路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等)，这是一件相当费事的工作，因此在使用该模式时需权衡利弊。

2. 透明模式如果防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。

也就是说，用户完全感觉不到防火墙的存在。

采用透明模式时，只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可，无需修改任何已有的配置。

与路由模式相同，IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变)，内部网络用户依旧受到防火墙的保护。

防火墙透明模式的典型组网方式如下：如上图所示，防火墙的Trust 区域接口与公司内部网络相连，Untrust 区域接口与外部网络相连，需要注意的是内部网络和外部网络必须处于同一个子网。

实验V3防火墙基本配置（二层模式）一、实验目的了解并熟悉H3C Secpath V3防火墙的两种二层模式配置二、场景描述用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。

为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图四、配置步骤基本配置1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常2. 将防火墙加入到网络中，进行防火墙的基本配置3. 将防火墙转换成二层模式，保证内网运行正常防火墙的配置：一、基本配置：1、设备命名，防火墙数据放通，接口加入区域systemsys F1000-Sfirewall packet-filter enable //开通防火墙的包过滤功能firewall packet-filter default permit //包过滤的默认规则为permitfirewall zone trust //内网口加入trustadd interface g1/0quitfirewall zone untrust //外网口加入untrustadd interface g2/02、将防火墙转换成二层模式：bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址ip address 192.168.1.100 255.255.255.0quitint g1/0 //将接口加入桥组bridge-set 1quitint g2/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 192.168.1.1 //管理IP的路由3、放通DHCP报文bridge 1 firewall unknown-mac flood //未知MAC洪泛1.1 五、查看和测试：使用dis cu 查看防火墙的配置使用dis ver 查看防火墙的软件版本1、在内网PC机上获取IP地址，能否获取到？2、获取IP地址后，PC能否Ping通网关，能否上公网？3、内网PC机能否管理F1000-S1.2 附：老版本的二层模式配置：firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP地址）interface Ethernet2/0（进入WAN口）promiscuous （配置为透明传输）quitinterface Ethernet1/0 （进入LAN口）promiscuous （配置为透明传输）firewall packet-filter default permit （配置防火墙默认规则）firewall unknown-mac flood （未知MAC泛洪）。

实验二防火墙的典型安装与部署——透明模式（网桥模式）
【实验拓扑】
【实验步骤】
一、将防火墙接入当前网络
1、从内部网络中的任一台PC无法再ping通路由器的对内网口IP: 10.0.0.254
2、通过管理PC登录防火墙系统，“系统”→“系统信息”→“设备状态”，仍显示
二、配置桥接
1、网口设置：进入桥接设定界面，“网络设置”→“网口配置”→“网口”：
将LAN口的“内部网口”勾选取消，可以看到下面的设置变为灰色，代表不可编辑，然后点击“保存”，最后选择“重启”，这样就将LAN口设置为外网口
进入桥接设定界面，“网络设置”→“网口配置”→“桥接设定”：
定义一条桥接规则：
添加一条桥接规则：
添加成功，重启。

三、测试桥接
1、检查LAN内主机是否能ping通路由地址，可以连通：
防火墙桥模式（透明模式）部署成功。