防火墙路由模式和透明模式区别

防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。

防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：① 注册IP地址（公网IP地址）的数量不足；② 内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；③ 内部网络中有需要外显并对外提供服务的服务器。

2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址；② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：① 注册IP（公网IP地址）的数量较多；② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。

防火墙的透明模式和透明代理服务器教程电脑资料防火墙在计算机网络安全中扮演着非常重要的角色。

它可以帮助监控和管理网络流量，保护计算机网络免受恶意攻击和未经授权的访问。

而防火墙的透明模式和透明代理服务器是其中两个重要的概念。

本文将详细解释防火墙的透明模式和透明代理服务器的原理，并介绍它们的设置和配置。

一、透明模式防火墙的透明模式是指在网络中拦截和过滤数据包时，对网络用户和应用程序来说是不可察觉的。

换句话说，透明模式下的防火墙不会对数据包进行任何的修改或干预。

它像一个“隐形”的墙壁，无论数据包是进入还是离开网络，都会被透明模式的防火墙检查和过滤。

在透明模式下，防火墙通常被部署为一个网桥。

这意味着它有两个网络接口，一个连接到内部网络，一个连接到外部网络。

防火墙会监听通过它的数据包流量，并根据预设的策略来判断是否允许或拒绝数据包通过。

用户和应用程序在没有任何感知的情况下，可以自由地发送和接收数据。

透明模式的防火墙通常还具备一些高级功能，如入侵检测系统（Intrusion Detection System，IDS）和虚拟专用网（Virtual Private Network，VPN）功能等。

它们能够帮助检测和防范网络攻击、黑客入侵等安全威胁。

二、透明代理服务器透明代理服务器（Transparent Proxy Server）是一种在网络通信中起到中间人角色的服务器。

在用户和目标服务器之间建立连接时，所有的请求和响应都需要经过透明代理服务器。

用户认为它们直接与目标服务器通信，而不知道自己实际上是在与代理服务器通信。

透明代理服务器通常用于网络缓存、访问控制、流量管理等用途。

它可以帮助优化网络通信，并提高网络性能。

同时，透明代理服务器还可以过滤和检测网络流量，防止恶意攻击、病毒传播和未经授权的访问。

设置和配置透明代理服务器通常需要以下几个步骤：1. 选择和安装合适的代理服务器软件。

常见的透明代理服务器软件有Squid、Nginx和Apache等。

1. 2防火墙模块工作模式配置2. 2.1工作模式概述M8600-FW防火墙模块可以工作在路由模式或透明模式。

路由模式：该模式的防火墙模块可以让处于不同网段的设备通过路由转发的方式进行相互通信，IP报文到达防火墙业务模块后按路由模式进行转发（即按目的IP地址进行选路），缺省情况下为该模式。

透明模式：该模式的防火墙模块表现为一个透明网桥，它可以连接在IP地址属于同一子网的两个物理子网之间，报文在接口间进行转发时，需要根据报文的MAC 地址来寻找出接口。

在使用时，用户可以根据实际情况进行选择，让防火墙模块在透明模式和路由模式下进行切换。

3. 2.2理解路由模式4. 2.2.1路由模式概述缺省情况下防火墙模块工作在路由模式。

为了配置防火墙工作在路由模式，需要在交换机和防火墙模块上进行如下的配置。

◆交换机1)创建2个VLAN，把报文的入端口和出端口加入不同的VLAN2)配置交换机与防火墙模块相连接的2个万兆以太口为聚合口，工作在trunk模式，允许上述的VLAN通过◆防火墙模块1)配置防火墙工作模式为路由模式2)创建2个VLAN 接口，接口号分别对应于交换机的2个VLAN ID3)为2个VLAN 接口配置ip地址若要实现在多个VLAN 的任意两个VLAN 间进行三层转发，需要在交换机中创建多个VLAN，将防火墙保护的流量经过的各端口划分到各个独立的VLAN中，同时在防火墙创建多个对应的VLAN接口并配置IP地址。

5. 2.2.2路由模式配置2.2.2.1配置交换机下述为在交换机设备线卡端的配置：Step 1Step 2Step 3Step 4Step 5Step 6Step 7Step 8Step 9Step 10Step 11Step 12Step 13Step 14Step 15Step 16Step 172.2.2.2配置防火墙模块登录防火墙模块后进行下述配置，具体登录方法请见<href="Cap1.htm#_配置防火墙模块进行登录" target="b">“配置防火墙模块进行登录”一节说明。

防火墙透明或路由模式的更改
一、登陆防火墙 (1)
1. 查看防火墙端口IP: show system interface (1)
2. 登陆防火墙的计算机的IP地址要和防火墙网口的IP地址在同一网段 (2)
二、更改防火墙模式 (3)
一、登陆防火墙
1. 查看防火墙端口IP: show system interface
2. 登陆防火墙的计算机的IP地址要和防火墙网口的IP地址在同一网段例：防火墙网口的IP地址为：192.168.30.1
计算机的IP地址可设为：192.168.30.100
登陆防火墙在IE里输入：https://192.168.30.1
用户名：administrator
密码：administrator
二、更改防火墙模式
Transparent为透明模式
注:UTM目前只支持透明和路由模式,不支持混合模式
UTM的透明模式为纯透明模式,不能做NA T,不做路由
切换到透明模式后,防火墙将恢复出厂配置,重启
防火墙的默认管理地址更改为:10.10.10.1/24,管理主机ip配置为同一网段即可。

华为防火墙的使用手册摘要：一、华为防火墙简介1.防火墙工作模式2.防火墙功能与应用二、华为防火墙配置指南1.基本配置与IP编址2.路由模式配置3.透明模式配置4.混合模式配置三、华为防火墙实用技巧1.拨号连接配置2.VPN配置3.访问控制列表配置4.防病毒和入侵检测配置四、华为防火墙故障排除1.常见故障及解决方法2.故障排查流程正文：一、华为防火墙简介华为防火墙作为一种安全设备，广泛应用于各种网络环境中。

它起到隔离网络的作用，防止外部攻击和数据泄露。

华为防火墙有三种工作模式：路由模式、透明模式和混合模式。

1.防火墙工作模式（1）路由模式：当防火墙连接的网络接口配置了IP地址时，防火墙工作在路由模式。

在此模式下，防火墙首先作为一台路由器，然后提供其他防火墙功能。

（2）透明模式：防火墙在这种模式下不干预网络流量，仅作为物理设备存在，适用于需要隔离网络的场景。

（3）混合模式：该模式结合了路由模式和透明模式，可以根据网络需求进行灵活配置。

2.防火墙功能与应用华为防火墙具备丰富的功能，包括：（1）防火墙：防止外部攻击和入侵，保障网络安全。

（2）VPN：实现远程办公和数据加密传输。

（3）流量控制：优化网络带宽利用率，保证关键业务优先运行。

（4）访问控制：根据需求设置允许或拒绝特定IP地址、协议、端口的访问。

（5）防病毒和入侵检测：实时监测网络流量，防止病毒和恶意行为。

二、华为防火墙配置指南1.基本配置与IP编址（1）给防火墙配置管理接口IP地址，例如：192.168.0.124。

（2）为防火墙的接口分配不同的IP地址，根据实际网络拓扑进行配置。

2.路由模式配置（1）进入路由模式，设置相关接口的IP地址。

（2）配置路由协议，如OSPF、BGP等。

（3）设置路由策略，优化网络路由。

3.透明模式配置（1）将防火墙调整为透明模式。

（2）根据需求，配置透明模式下的接口属性。

4.混合模式配置（1）结合路由模式和透明模式进行配置。

路由模式、透明模式、混合模式如果防⽕墙以第三层对外连接（接⼝具有IP 地址），则认为防⽕墙⼯作在路由模式下；若防⽕墙通过第⼆层对外连接（接⼝⽆IP 地址），则防⽕墙⼯作在透明模式下；若防⽕墙同时具有⼯作在路由模式和透明模式的接⼝（某些接⼝具有IP 地址，某些接⼝⽆IP 地址），则防⽕墙⼯作在混合模式下。

防⽕墙三种⼯作模式的简介1、路由模式当防⽕墙位于内部⽹络和外部⽹络之间时，需要将防⽕墙与内部⽹络、外部⽹络以及DMZ 三个区域相连的接⼝分别配置成不同⽹段的IP 地址，重新规划原有的⽹络拓扑，此时相当于⼀台路由器。

如下图所⽰，防⽕墙的Trust区域接⼝与公司内部⽹络相连，Untrust 区域接⼝与外部⽹络相连。

值得注意的是，Trust 区域接⼝和Untrust 区域接⼝分别处于两个不同的⼦⽹中。

采⽤路由模式时，可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。

然⽽，路由模式需要对⽹络拓扑进⾏修改（内部⽹络⽤户需要更改⽹关、路由器需要更改路由配置等），这是⼀件相当费事的⼯作，因此在使⽤该模式时需权衡利弊。

2. 透明模式如果防⽕墙采⽤透明模式进⾏⼯作，则可以避免改变拓扑结构造成的⿇烦，此时防⽕墙对于⼦⽹⽤户和路由器来说是完全透明的。

也就是说，⽤户完全感觉不到防⽕墙的存在。

采⽤透明模式时，只需在⽹络中像放置⽹桥（bridge）⼀样插⼊该防⽕墙设备即可，⽆需修改任何已有的配置。

与路由模式相同，IP 报⽂同样经过相关的过滤检查（但是IP 报⽂中的源或⽬的地址不会改变），内部⽹络⽤户依旧受到防⽕墙的保护。

防⽕墙透明模式的典型组⽹⽅式如下：如上图所⽰，防⽕墙的Trust 区域接⼝与公司内部⽹络相连，Untrust 区域接⼝与外部⽹络相连，需要注意的是内部⽹络和外部⽹络必须处于同⼀个⼦⽹。

3. 混合模式如果防⽕墙既存在⼯作在路由模式的接⼝（接⼝具有IP 地址），⼜存在⼯作在透明模式的接⼝（接⼝⽆IP 地址），则防⽕墙⼯作在混合模式下。

Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（内网端口）处于NAT模式时，防火墙Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源IP 地址和源端口号。

防火墙使用Untrust 区（外网或者公网）接口的IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：① 注册IP地址（公网IP地址）的数量不足；2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射IP (MIP)和虚拟IP (VIP)地址；② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：① 注册IP（公网IP地址）的数量较多；② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2层交换机或者桥接器，防火墙对于用户来说是透明的。

防火墙三种部署模式及基本配置Juniper防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是：① 基于TCP/IP协议三层的NAT模式；② 基于TCP/IP协议三层的路由模式；③ 基于二层协议的透明模式。

2.1、NAT模式当Juniper防火墙入口接口（“内网端口”）处于NAT模式时，防火墙将通往Untrust 区（外网或者公网）的IP 数据包包头中的两个组件进行转换：源 IP 地址和源端口号。

防火墙使用 Untrust 区（外网或者公网）接口的 IP 地址替换始发端主机的源IP 地址；同时使用由防火墙生成的任意端口号替换源端口号。

NAT模式应用的环境特征：① 注册IP地址（公网IP地址）的数量不足；② 内部网络使用大量的非注册IP地址（私网IP地址）需要合法访问Internet；③ 内部网络中有需要外显并对外提供服务的服务器。

2.2、Route-路由模式当Juniper防火墙接口配置为路由模式时，防火墙在不同安全区间（例如：Trust/Utrust/DMZ）转发信息流时IP 数据包包头中的源地址和端口号保持不变。

① 与NAT模式下不同，防火墙接口都处于路由模式时，不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址；② 与透明模式下不同，当防火墙接口都处于路由模式时，其所有接口都处于不同的子网中。

路由模式应用的环境特征：① 注册IP（公网IP地址）的数量较多；② 非注册IP地址（私网IP地址）的数量与注册IP地址（公网IP地址）的数量相当；③ 防火墙完全在内网中部署应用。

2.3、透明模式当Juniper防火墙接口处于“透明”模式时，防火墙将过滤通过的IP数据包，但不会修改 IP数据包包头中的任何信息。

防火墙的作用更像是处于同一VLAN 的2 层交换机或者桥接器，防火墙对于用户来说是透明的。

透明模式是一种保护内部网络从不可信源接收信息流的方便手段。

防火墙的透明模式和透明代理电脑资料随着防火墙技术的发展，安全性高、操作简便、界面友好的防火墙逐渐成为市场热点，防火墙作为实际存在的物理设备，其本身也起到路由的作用，所以在为用户 ___防火墙时，就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增加了工作的复杂程度和难度。

但如果防火墙采用了透明模式，即采用无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接 ___和放置到网络中使用，如交换机一样不需要设置IP地址。

透明模式的防火墙就好象是一台网桥(非透明的防火墙好象一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置（包括IP地址和 ___）无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户的复杂程度。

而与透明模式在称呼上相似的透明代理，和传统代理一样，可以比包过滤更深层次地检查数据信息，比如FTP包的port命令等。

同时它也是一个非常快的代理，从物理上分离了连接，这可以提供更复杂的协议需要，例如带动态端口分配的H.323，或者一个带有不同命令端口和数据端口的连接。

这样的通信是包过滤所无法完成的。

防火墙使用透明代理技术，这些代理服务对用户也是透明的，用户意识不到防火墙的存在，便可完成内外网络的通讯，一般使用代理服务器时，每个用户需要在客户端程序中指明要使用代理，自行设置Proxy参数（如在浏览器中有专门的设置来指明或FTP等的代理）。

而透明代理服务，用户不需要任何设置就可以使用代理服务器，简化了网络的设置过程。

透明代理的原理如下：假设A为内部网络客户机，B为外部网络服务器，C为防火墙。

当A对B有连接请求时，TCP连接请求被防火墙截取并加以监控。

截取后当发现连接需要使用代理服务器时，A和C 之间首先建立连接，然后防火墙建立相应的代理服务通道与目标B 建立连接，由此通过代理服务器建立A 和目标地址B的数据传输途径。

ASA透明模式防火墙技术介绍首先，透明模式和其它模式的pk: 路由模式VS透明模式路由模式，防火墙扮演一个三层设备，基于目的IP地址转发数据包。

透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的MAC地址转发以太网??桥模式VS透明模式需要注意的是，虽然透明模式防火墙首先，透明模式和其它模式的pk:路由模式VS透明模式路由模式，防火墙扮演一个三层设备，基于目的IP地址转发数据包。

透明模式，防火墙扮演一个二层设备，如同桥或交换机，基于目的MAC地址转发以太网帧。

桥模式VS透明模式需要注意的是，虽然透明模式防火墙工作在第二层，但是，它的工作方式并不完全与二层交换机或桥相同。

透明模式防火墙在处理流量时仍然与交换机有一些不同。

交换机三个主要功能1. 学习与每个端口匹配的MAC地址，并将它们存储在MAC地址表中（有时一叫做CAM表）。

智能地使用MAC地址表转发流量，但是会泛洪未知目的的单播、组播、广播地址。

3. 使用生成树协议（STP）来打破第二层环路，保证在源和目的之间只有一条活动路径存在。

像交换机一样，透明模式防火墙也会完成第一点：当一个帧进入一个接口，设备会比较帧中的源MAC地址，并且把它添加到MAC地址表中（如果MAC地址表中没有这个地址）。

防火墙同样使用MAC地址表，智能地基于帧的目的MAC地址进行转发；但是，防火墙不会泛洪MAC地址表不存在的未知的目的单播MAC地址。

防火墙假设，如果设备使用TCP/IP，可以通过ARP进程来发现与三层IP地址相匹配的目的MAC地址。

如果一台设备打破了这个预期（准则），并且使用了一个防火墙没有学到（动态或静态）的MAC地址，防火墙将丢弃未知的目的MAC地址。

简单的说，就是不泛洪未知的目的MAC地址。

第二点与二层设备不同的是，防火墙不参与生成树（STP）。

因此，必须保证在使用透明模式防火墙时，不能故意增加二层环路。

如果有环路，你会很快的该设备和交换机的CPU利用率会增加到100％。

防火墙的透明模式防火墙透明模式是一种网络安全技术，其主要目的是在不对网络流量做任何修改的情况下，对网络进行监控和检查，以保护网络免受各种威胁。

在防火墙透明模式下，网络中的所有流量都会通过防火墙进行传递，但与普通防火墙不同的是，在透明模式下，网络流量的路由是无法察觉的，即外部用户无法察觉到网络流量被防火墙处理过。

防火墙透明模式的主要工作原理如下：1.路由配置：在防火墙和网络中的其他设备之间进行正确的路由配置。

这样，所有的网络流量都会被自动重定向到防火墙，而不会对网络流量的路由造成任何影响。

2.透明桥接：防火墙通常会通过透明桥接的方式接管网络流量，即将网络流量原封不动地转发给目标设备，同时在转发过程中进行监控和检查。

透明桥接可以实现无害的网络流量传递。

3.无IP更改：透明模式下的防火墙不会对网络流量的IP地址进行任何更改操作。

这意味着，外部用户无法察觉到网络流量被防火墙处理过，从而增加了攻击者进行攻击的难度。

4.网络监控和检查：透明模式下的防火墙会监控和检查网络流量，以识别和阻止任何潜在的威胁。

它可以根据预设规则对流量进行分析，例如检测恶意软件，过滤垃圾邮件，防御拒绝服务攻击等。

防火墙透明模式的优点包括：1.无需客户端配置：由于防火墙在网络中的传输是透明和无感知的，所以无需在客户端设备上进行任何额外的配置。

这样可以简化网络管理，并减少可能的配置错误。

2.网络兼容性：透明模式的防火墙可以与任何网络设备和协议兼容，无需进行任何修改。

这使得防火墙的部署和维护更加灵活和方便。

3.安全性高：透明模式不会对网络流量的路由和源IP地址进行更改，使得外部用户无法轻易地绕过防火墙进行攻击。

与此同时，防火墙将持续监控和检查网络流量，提高了网络的安全性。

4.部署简便：在透明模式下，防火墙可以在网络中的任何位置进行部署，而不会对网络的结构和性能产生任何影响。

这为网络管理员提供了更多的灵活性和便捷性。

然而，防火墙透明模式也存在一些局限性和挑战。

——防火墙HEIDUN FIREWALL用户手册福建省海峡信息技术有限公司重要声明➢本书为【黑盾防火墙】产品配置使用指导手册，适用于黑盾防火墙系列产品。

其内容将随着产品不断升级而改变，恕不另行通知。

如有需要，请从福建省海峡信息技术有限公司网站下载本手册最新版本。

➢在法律法规的最大允许范围内，福建省海峡信息技术有限公司除就本手册和产品应负的瑕疵担保责任外，无论明示或默示，不作其他任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

➢在法律法规的最大允许范围内，福建省海峡信息技术有限公司对于您的使用或不能使用本产品而发生的任何损害（包括，但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或其他损失），不负任何赔偿责任。

➢感谢您购买福建省海峡信息技术有限公司研制开发的“黑盾”系列网络安全产品。

请在安装本产品之前认真阅读配套的使用手册，当您开始使用黑盾防火墙时，海峡信息认为您已经阅读了本使用手册。

福建省海峡信息技术有限公司福建省福州市湖东路11号4F邮编：350003电话：086－591－87303706传真：086－591－87303709E-mail:**********版权所有翻录必究目录1黑盾防火墙简介 (6)1.1系统概述 (6)1.1.1基本功能 (6)1.1.2系统技术参数 (7)1.1.3系统组成 (8)1.2用户手册概述 (8)1.3产品目录 (8)1.4防火墙在线帮助 (9)1.5防火墙主页面 (9)2部署黑盾防火墙 (12)2.1黑盾防火墙网络拓扑规划 (12)2.2防火墙的透明模式和路由模式一体化 (13)2.3确定网络应用服务和防火墙配置参数 (13)3黑盾防火墙的初始安装 (14)3.1准备工作 (14)3.2把防火墙连接到网络和设备上 (15)3.3管理机的要求 (15)3.4通过WEB浏览器配置防火墙 (15)3.5通过管理机的串口配置防火墙 (17)3.5.1串口设置 (18)3.5.2管理机的配置 (18)3.5.3命令行 (21)4防火墙的安全配置 (26)4.1系统信息 (27)4.1.1版本说明 (28)4.1.2系统资源 (29)4.1.3当前连接 (30)4.1.4ARP缓存 (31)4.1.5IP资产管理 (32)4.1.6调试工具 (32)4.2系统维护 (35)4.2.1配置管理 (35)4.2.2系统升级 (38)4.2.3系统自动重启 (39)4.2.4重启系统 (40)4.2.5关闭系统 (40)4.2.6重新登录 (40)4.3系统设置 (40)4.3.1网口配置 (41)4.3.2路由配置 (47)4.3.3DHCP服务器 (50)4.3.4DDNS管理 (54)4.3.5DNS配置 (54)4.3.6时间设置 (54)4.3.7网络参数 (55)4.3.8管理员设置 (56)4.3.9管理主机 (61)4.3.10网络通信日志 (63)4.3.12链路备份 (65)4.4IP包转换 (66)4.4.1源地址转换 (67)4.4.2目标地址转换 (70)4.4.3负载平衡 (74)4.4.4FWMARK设置 (77)4.4.5TOS设置 (77)4.5访问控制 (79)4.5.1帧过滤规则 (80)4.5.2过滤规则 (82)4.5.3FTP高级过滤 (85)4.5.4WEB高级过滤 (87)4.5.5通用内容过滤 (88)4.5.6P2P应用控制 (89)4.5.7流量控制 (89)4.5.8并发数控制 (92)4.6安全选项 (92)4.6.1安全过滤选项 (93)4.6.2IDS联动设置 (96)4.6.3安全信任主机 (98)4.7IPSEC VPN配置 (99)4.7.1VPN接口管理 (100)4.7.2VPN节点设置 (101)4.7.3密钥管理 (105)4.7.4VPN隧道管理 (110)4.7.5VPN状态 (114)4.8拨号VPN网络管理 (115)4.8.1用户管理 (117)4.8.2连接状态 (118)4.8.3为远程VPN建立规则 (119)4.8.4客户端进行VPDN拨号 (121)4.9SSLVPN模块 (126)4.9.1服务端管理 (127)4.9.2客户端管理 (132)4.9.3RADIUS用户管理 (139)4.9.4用户组管理 (141)4.9.5连接状态 (142)4.9.6分支机构 (143)4.9.7为远程SSLVPN客户端建立访问控制规则 (147)4.10SSLVPN客户端软件 (149)4.10.1隧道管理 (150)4.10.2配置管理 (156)4.10.3日志管理 (161)4.10.4程序安装/卸载 (162)4.11对象定义 (165)4.11.1地址池 (166)4.11.2服务类型 (172)4.11.3时间域 (176)4.11.4用户组 ............................................................................................................... 错误!未定义书签。

路由器的工作模式有路由模式和透明模式；防火墙的工作模式有路由模式、透明模式、混合模式。

NATNAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。

顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。

简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。

通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。

这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。

如图2所示。

这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由（路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。

一种网络技术，可以实现不同路径的转发）。

虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255，192.168.0.0~192.168.255.255。

NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。

而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。