防火墙模块工作模式

浅谈防火墙配置中路由模式和透明模式的区别与应用作者：黄安祥来源：《消费导刊》2018年第17期所谓防火墙，指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，“防火墙”，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

路由器和防火墙和相比，都属于网关设备，可以支持网络的各种应用，在差异性上有设计思路和实现方式的不同。

Router是作为一种“网络连通手段”，保证网络互连互通为主；Firewall 是作为一种“网络隔离手段”，隔离网络异常数据为主。

Router：能正确转发包的设备是路由器：Firewall：能正确丢包的设备是防火墙。

一、防火墙配置里的工作模式一般硬件防火墙有路由模式、网桥模式、混合模式，路由模式连接不同网段，防火墙有实际的地址，网桥模式即透明模式，连接相同网段，防火墙没有地址，内网用户看不到防火墙的存在，隐蔽性较好，混合模式即在网络拓扑里同时用到了路由和网桥模式，网桥模式也叫透明模式，是指防火墙的功能类型于交换机，进行二层转发，英文有transparent（透明）和bridge 两种叫法，但transparent的说法更加贴切，因为上面有多个端口，而网桥则是典型的只有2个端口。

路由模式是指防火墙的功能类型于路由器，提供路由转发功能，大多时候也会使用NAT功能，进行报文的三层转发。

企业安全建设之基础办公安全体系建设（防火墙、VPN和上网行为管理）企业办公网安全体系建设，包括终端基础安全体系、防火墙和VPN、入侵检测/防御系统、邮件系统安全和统一账号认证系统建设。

概述：介绍防火墙、VPN和上网行为管理企业员工日常办公需要进行网络连接，主要包括以下几类：·办公网用户需要访问互联网·总部和分支机构需要进行互联·办公网需要访问IDC（互联网数据中心）或生产网·员工需要远程接入办公网企业在进行网络互联和网络使用过程中，存在以下安全需求。

1、网络边界访问控制办公网、生产网、互联网的安全级别是不一样的，其中互联网是最不安全的，存在大量的恶意攻击和尝试；生产网承载公司核心线上业务，需要进行重点保护；办公网往往比较复杂，安全风险也较高。

因此在网络边界需要进行访问控制，对访问源、访问目的和端口进行限制，降低网络互联风险。

2、通信安全和传输安全企业分支机构和总部远程办公接入都需要进行互联和网络信息传输，要保障数据传输安全，避免数据在传输过程中被恶意窃取；此外针对远程办公接入用户，还需要进行身份认证和权限控制，防止非授权访问和不安全接入。

3、安全上网员工访问互联网时，可能有意或无意访问了恶意网站（如病毒网站、色情网站、钓鱼网站），被植入了木马或后门，导致终端被入侵；此员工可能使用了不安全的或公司不允许使用的软件，如各种远程控制软件和协助工具、p2p客户端、代理软件和协议等。

企业需要在互联网访问出口处对上网行为进行安全管控。

下面主要介绍介绍防火墙、VPN和上网行为管理，通过这些设备和系统，解决网络互联安全风险问题。

一、防火墙1、防火墙简介和发展历程防火墙是提供网络访问控制的硬件设备，防火墙的发展主要经历了以下几个阶段：·防火墙：提供基于状态检测的防火墙，工作在OSI模型的第3层和第4层，基于源IP、目的IP、目的端口的访问控制。

状态检测防火墙不仅维护了防火墙规则表，还建立了状态连接表，跟踪进出网络的会话状态，检测会话状态的完整性，阻断恶意和非法的连接，提高了网络的安全性。

防火墙应符合以下功能要求1、防火墙应支持多种工作模式:透明、路由以及透明加路由的综合模式。

2、防火墙的访问控制策略能够基于源、目IP地址,源、目端口号和时间进行设置。

3、采用硬件及软件功能模块化技术;4、支持服务器的SYN代理功能;5、支持根据认证用户的名称进行匹配通信策略;6、防火墙支持在透明模式下nat/map的功能;7、防火墙支持web重定向功能;8、防火墙支持DHCP作为客户端和服务器;9、防火墙默认管理端口可以更改;10、支持TOPSEC协议,能够与第三方安全产品进行很好的联动,尤其是与IDS产品和URL产品的联动。

11、应支持802.1Q、Cisco ISL等VLAN协议,并能支持ISL的封装和解封的功能,支持STP(生成数协议)。

12、支持WATCH DOG电路,能够实现防火墙的自动检测和恢复。

13、支持基于服务器的负载均衡技术,支持基于数据库的长连接应用14、支持与RADIUS、CA、OTP服务器的联动15、防火墙应采用先进的状态检测技术与核检测技术。

16、可支持动态、静态、双向的网络地址转换(NAT)。

17、具备完善的日志功能,能够提供日志自动导出功能,支持向日志服务器导出日志,提供标准化的日志。

18、应支持常见的动态路由协议,如OSPF、RIP、RIPII。

19、防火墙应支持SNMP协议V3版本,同时提供相应的MIB库文件, 能通过第三方网管软件对防火墙进行监测和控制。

20、要求能够提供基于源地址和目的地址的路由功能。

满足的性能要求:1、最大并发连接数不低于1,200,000。

2、带宽管理、与IDS联动3、吞吐量不低于2G4、平均无故障时间MTBF:不低于60000小时。

5、三年免费软件升级及服务6、认证级别要达到EAL3。

蓝盾防火墙操作手册广东天海威数码技术有限公司2004年3月1日目 录第一章防火墙远程集中管理软件操作 (4)第二章防火墙系统配置 (8)1.系统设置界面 (8)2.系统设置 (9)2.1. 网络设置 (9)2.2. VLAN设置 (12)2.3. 路由设置 (13)2.4. 域名设置 (14)2.5. 时钟设置 (14)2.6. 管理限制 (15)2.7. 系统设置 (15)2.8. 密码修改 (16)2.9. 登陆尝试 (17)2.10. 系统升级 (17)2.11. 工作模式 (17)2.12. 用户管理 (18)2.13. 联动设置 (18)2.14. 双机热备 (19)2.15. 关闭系统 (20)3.安全规则 (20)3.1. 安全规则 (21)3.2. 动态规则 (25)3.3. 统计规则 (25)3.4. 链路层规则 (26)3.5. 文本过滤 (26)3.6. URL过滤 (27)3.7. 模块设置 (28)4.NAT规则 (29)5.专业VPN (35)5.1. 增加AH (36)5.2. 增加ESP (37)5.3. VPN列表 (38)5.4. 用户管理 (38)5.5. 用户日志 (39)6.多播服务 (39)6.1. 边界定义 (39)6.2. 网口设置 (40)6.3. 通道设置 (42)7.AAA服务 (43)7.1. 服务器设置 (43)7.2. 用户规则 (43)7.3. 用户设置 (44)7.4. 用户认证列表 (45)8.SNMP服务 (45)9.保存设置 (46)9.1. 保存设置 (46)9.2. 设置管理 (46)9.3. 执照管理 (47)10.物理开关 (48)11.MAC绑定 (49)12.系统帮助 (50)12.1. 在线帮助 (50)12.2. PING工具 (50)12.3. 路由信息 (51)12.4. NAT信息 (51)12.5. 系统信息 (51)13.退出系统 (52)第三章防火墙典型配置案例 (53)第一章防火墙远程集中管理软件操作通过蓝盾防火墙的8887端口，可进入防火墙的系统设置管理界面，进行安全规则和其它功能的设定。

UTM:根据IDC的定义，UTM是指能够提供广泛的网络保护的设备，它在一个单一的硬件平台下提供了以下的一些技术特征：防火墙、防病毒、入侵检测和防护功能。

IDC的行业分析师们注意到，针对快速增长的混合型攻击（基于互联网的病毒已经开始在应用层发起攻击），需要一种灵活的、整合各种功能的UTM设备来防止这种攻击的快速蔓延。

IDS:IDS是Intrusion Detection System的缩写，即入侵检测系统，主要用于检测Hacker或Cracker通过网络进行的入侵行为。

无须网络流量流经它便可以工作。

IDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。

防火墙:一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

具有这样功能的硬件或软件,就是防火墙第一个是技术系统,第二三两个是可以是系统的组成,也可以单毒存在.应用场合:UTM只有大企业才会使用,IDS信息产业相关的中小型企业使用,防火墙几乎每个都会人用.组成属性来分,UTM包括IDS和防火墙等.在网络中,IDS位于防火墙之前.防火墙一般设置在网关,必要时过滤双向数据.UTM安全设备的定义是指一体化安全设备，它具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能，但这几项功能并不一定要同时得到使用，不过它们应该是UTM设备自身固有的功能。

然而，人们总是会用看防火墙的眼光来看UTM，有时候，甚至一些厂商在投标过程中，为了迎合标书，也将UTM作为防火墙去投标。

Juniper SRX防火墙简明配置手册目录一、JUNOS操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS配置管理 (4)1.3 SRX主要配置内容 (5)二、SRX防火墙配置对照说明 (6)2.1 初始安装 (6)2.1.1 登陆 (6)2.1.2 设置root用户口令 (6)2.1.3 设置远程登陆管理用户 (7)2.1.4 远程管理SRX相关配置 (7)2.2 Policy (8)2.3 NAT (8)2.3.1 Interface based NAT (9)2.3.2 Pool based Source NAT (10)2.3.3 Pool base destination NAT (11)2.3.4 Pool base Static NAT (12)2.4 IPSEC VPN (13)2.5 Application and ALG (15)2.6 JSRP (15)三、SRX防火墙常规操作与维护 (19)3.1 设备关机 (19)3.2设备重启 (20)3.3操作系统升级 (20)3.4密码恢复 (21)3.5常用监控维护命令 (22)Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

蓝盾防火墙操作手册广东天海威数码技术有限公司2004年3月1日目 录第一章防火墙远程集中管理软件操作 (4)第二章防火墙系统配置 (8)1.系统设置界面 (8)2.系统设置 (9)2.1. 网络设置 (9)2.2. VLAN设置 (12)2.3. 路由设置 (13)2.4. 域名设置 (14)2.5. 时钟设置 (14)2.6. 管理限制 (15)2.7. 系统设置 (15)2.8. 密码修改 (16)2.9. 登陆尝试 (17)2.10. 系统升级 (17)2.11. 工作模式 (17)2.12. 用户管理 (18)2.13. 联动设置 (18)2.14. 双机热备 (19)2.15. 关闭系统 (20)3.安全规则 (20)3.1. 安全规则 (21)3.2. 动态规则 (25)3.3. 统计规则 (25)3.4. 链路层规则 (26)3.5. 文本过滤 (26)3.6. URL过滤 (27)3.7. 模块设置 (28)4.NAT规则 (29)5.专业VPN (35)5.1. 增加AH (36)5.2. 增加ESP (37)5.3. VPN列表 (38)5.4. 用户管理 (38)5.5. 用户日志 (39)6.多播服务 (39)6.1. 边界定义 (39)6.2. 网口设置 (40)6.3. 通道设置 (42)7.AAA服务 (43)7.1. 服务器设置 (43)7.2. 用户规则 (43)7.3. 用户设置 (44)7.4. 用户认证列表 (45)8.SNMP服务 (45)9.保存设置 (46)9.1. 保存设置 (46)9.2. 设置管理 (46)9.3. 执照管理 (47)10.物理开关 (48)11.MAC绑定 (49)12.系统帮助 (50)12.1. 在线帮助 (50)12.2. PING工具 (50)12.3. 路由信息 (51)12.4. NAT信息 (51)12.5. 系统信息 (51)13.退出系统 (52)第三章防火墙典型配置案例 (53)第一章防火墙远程集中管理软件操作通过蓝盾防火墙的8887端口，可进入防火墙的系统设置管理界面，进行安全规则和其它功能的设定。

网络安全判断题1. TCP/IP参考模型分为网络接口层、网际层、传输层和应用层。

对(正确答案)错2. TCP/IP参考模型的四个层次分别为会话层、网际层、传输层、应用层。

对错(正确答案)3. IP协议，又称网际协议或互联网协议，是用于报文交换网络的一种面向数据的协议。

对(正确答案)错4. IP协议是TCP/IP参考模型中会话层的主要协议。

对错(正确答案)5. UDP协议，又称用户数据报协议，是一种简单的面向数据报的传输层协议。

对(正确答案)错6. UDP协议位于TCP/IP参考模型中的传输层。

对(正确答案)错7. TCP协议，又称传输层控制协议，是一种基于字节流的传输层协议。

对(正确答案)错8. TCP协议位于TCP/IP参考模型中的网际层。

对错(正确答案)9. TCP协议通过三次握手在客户端和服务器间建立连接。

对(正确答案)错10. TCP协议三次握手中的第一步是客户端向服务器主动发送SYN建立连接。

对(正确答案)错11. 交换机有三种工作方式，分别为直通式、存储转发、碎片丢弃。

对(正确答案)错12. 交换机在直通式工作方式下，检查数据包的长度是否够64个字节，如果小于64字节，说明是假包，则丢弃该包。

对错(正确答案)13. switchport port-security命令可以开启交换机端口安全模式。

对(正确答案)错14. 设置了交换机端口安全时，违反规则后的处理策略不包括shutdown。

对错(正确答案)15. 交换机转发数据帧的过程中，如果还没有学习到目的MAC地址，交换机会泛洪该数据帧。

对(正确答案)错16. 交换机的地址学习是指学习MAC地址与端口的映射关系实现的。

对(正确答案)错17. 交换机有物理复位装置，以恢复密码，因此应该严格保证交换机的物理安全，以防止一些非授权的访问。

对(正确答案)错18. 物理安全对于一个操作环境来说是至关重要的，交换机必须以一个安全固定方式安装，最好装在一个架子上或是半封闭的区域。

一、填空题1、--------是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的，用以实施网络间访问控制的一组组件的集合。

2、目前普遍应用的防火墙按组成结构可分为（软件防火墙）,硬件防火墙,芯片级防火墙三种。

3、包过滤类型的防火墙要遵循的一条基本原则是--（最小特权原则）------ 。

4、状态检测防火墙中有两张表用来实现对数据流的控制，它们分别是规则表和---（状态检测表）------。

5、常见防火墙按采用的技术分类主要有：包过滤防火墙；代理防火墙；-(状态检测防火墙)-------。

6、-------- 是防火墙体系的基本形态7、应用层网关防火墙也就是传统的代理型防火墙。

应用层网关型防火墙工作在OSI 模型的应用层，它的核心技术就是-（代理服务器技术）-------，电路层网关工作在OSI模型的会话层。

8、防火墙体系结构一般有如下三种类型：（双重宿主主机体系结构）、屏蔽主机体系结构和屏蔽子网体系结构。

9、在屏蔽子网防火墙体系结构中，-------- 和分组过滤路由器共同构成了整个防火墙的安全基础。

10、防火墙的工作模式有-------- 、透明桥模式和混合模式三大类。

11.芯片级防火墙的核心部分是（ASIC芯片）12.目前市场上常见的防火墙架构有(X86 ASIC NP)13.代理防火墙是一种较新型的防火墙技术，它分为（应用层网关）和（电路层网关）二、单项选择题1、为控制企业内部对外的访问以及抵御外部对内部网的攻击,最好的选择是（）。

A、IDSB、杀毒软件C、防火墙D、路由器2、以下关于防火墙的设计原则说法正确的是（）。

A、不单单要提供防火墙的功能，还要尽量使用较大的组件B、保持设计的简单性C、保留尽可能多的服务和守护进程，从而能提供更多的网络服务D、一套防火墙就可以保护全部的网络3、防火墙能够（）。

A、防范恶意的知情者B、防范通过它的恶意连接C、防备新的网络安全问题D、完全防止传送己被病毒感染的软件和文件4、防火墙中地址翻译的主要作用是（）。

防火墙应符合以下功能要求1、防火墙应支持多种工作模式：透明、路由以及透明加路由的综合模式。

2、防火墙的访问控制策略能够基于源、目IP地址，源、目端口号和时间进行设置。

3、采用硬件及软件功能模块化技术；4、支持服务器的SYN代理功能；5、支持根据认证用户的名称进行匹配通信策略；6、防火墙支持在透明模式下nat/map的功能；7、防火墙支持web重定向功能;8、防火墙支持DHCP作为客户端和服务器;9、防火墙默认管理端口可以更改;10、支持TOPSEC协议，能够与第三方安全产品进行很好的联动，尤其是与IDS产品和URL产品的联动。

11、应支持802.1Q、Cisco ISL等VLAN协议，并能支持ISL的封装和解封的功能，支持STP（生成数协议）。

12、支持WATCH DOG电路，能够实现防火墙的自动检测和恢复。

13、支持基于服务器的负载均衡技术，支持基于数据库的长连接应用14、支持与RADIUS、CA、OTP服务器的联动15、防火墙应采用先进的状态检测技术与核检测技术。

16、可支持动态、静态、双向的网络地址转换（NAT）。

17、具备完善的日志功能，能够提供日志自动导出功能，支持向日志服务器导出日志，提供标准化的日志。

18、应支持常见的动态路由协议，如OSPF、RIP、RIPII。

19、防火墙应支持SNMP协议V3版本，同时提供相应的MIB库文件，能通过第三方网管软件对防火墙进行监测和控制。

20、要求能够提供基于源地址和目的地址的路由功能。

满足的性能要求：1、最大并发连接数不低于1,200,000。

2、带宽管理、与IDS联动3、吞吐量不低于2G4、平均无故障时间MTBF：不低于60000小时。

5、三年免费软件升级及服务6、认证级别要达到EAL3。