透明桥模式

浅谈防火墙配置中路由模式和透明模式的区别与应用作者：黄安祥来源：《消费导刊》2018年第17期所谓防火墙，指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。

该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，“防火墙”，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

路由器和防火墙和相比，都属于网关设备，可以支持网络的各种应用，在差异性上有设计思路和实现方式的不同。

Router是作为一种“网络连通手段”，保证网络互连互通为主；Firewall 是作为一种“网络隔离手段”，隔离网络异常数据为主。

Router：能正确转发包的设备是路由器：Firewall：能正确丢包的设备是防火墙。

一、防火墙配置里的工作模式一般硬件防火墙有路由模式、网桥模式、混合模式，路由模式连接不同网段，防火墙有实际的地址，网桥模式即透明模式，连接相同网段，防火墙没有地址，内网用户看不到防火墙的存在，隐蔽性较好，混合模式即在网络拓扑里同时用到了路由和网桥模式，网桥模式也叫透明模式，是指防火墙的功能类型于交换机，进行二层转发，英文有transparent（透明）和bridge 两种叫法，但transparent的说法更加贴切，因为上面有多个端口，而网桥则是典型的只有2个端口。

路由模式是指防火墙的功能类型于路由器，提供路由转发功能，大多时候也会使用NAT功能，进行报文的三层转发。

如何设置路由器的透明网桥模式现代社会，互联网成为了人们生活中不可或缺的一部分，而路由器作为连接网络的重要设备之一，扮演着至关重要的角色。

为了满足不同网络需求，路由器提供了多种工作模式供使用者选择。

本文将重点介绍如何设置路由器的透明网桥模式。

一、什么是透明网桥模式透明网桥模式是路由器的一种工作方式，它主要用于连接两个网络，使其运行起来像一个统一的网络。

二、为什么选择透明网桥模式1.扩展网络：透明网桥模式可以将多个网络连接在一起，扩展网络范围，满足大规模网络需求。

2.减少网络堵塞：透明网桥模式可以减少因路由器转发引起的网络堵塞，提高网络传输速度和稳定性。

3.保护原有网络架构：透明网桥模式可以在网络扩展的同时，保护原有网络架构的稳定性，不对其进行干扰和改变。

三、如何设置路由器的透明网桥模式1.连接路由器：首先，将路由器与电脑通过网线连线连接，并确保连接正常。

2.登录路由器管理页面：打开浏览器，输入路由器的默认IP地址，进入路由器管理页面。

3.找到网桥设置选项：在管理页面中，找到相关的设置选项，通常位于"高级设置"或"网络设置"中。

4.启用透明网桥模式：在网桥设置选项中，找到“透明网桥模式”选项，勾选启用，并保存设置。

5.配置网络参数：根据实际需求，进行相关的网络参数配置，如IP地址、子网掩码等。

6.应用设置：完成配置后，点击应用设置，使设置生效。

四、设置透明网桥模式的注意事项1.了解网络架构：在设置透明网桥模式前，需要充分了解原有网络的架构和拓扑结构，避免设置错误导致网络故障。

2.正确选择设备：根据实际需求，选择适合的路由器设备，并确保其支持透明网桥模式。

3.避免冲突：在设置透明网桥模式时，需避免与其他网络设备冲突，提前规划好网络地址分配。

4.尽量保持默认设置：在设置透明网桥模式时，尽量保持其他设置为默认状态，避免冲突和不必要的干扰。

五、总结透明网桥模式作为路由器的一种工作方式，具有扩展网络、减少网络堵塞和保护原有网络架构等优点，适用于大规模网络环境。

Transparent Mode在安全或者路由产品上，由于接口都是三层接口所以配置时候需要IP地址。

当然有些情况，指的是有些情况，当IP地址不够用，或者其他某些蛋疼的原因没有IP地址时候。

怎么办？接口运行在透明模式，也就是运行在2层中。

那么运行2层有毛好处呢？透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。

就是不配IP地址，直接接上就用，但是安全策略还有效。

这不是很帅么。

当然再帅也有遗憾，就想SRX 也有些feature 在透明模式下不支持一样：Note: Transparent mode is supported only for IPv4 traffic.首先透明模式只支持IPv4Note: Not all security features are supported in transparent mode:∙NAT is not supported.∙IPsec VPN is not supported.∙For ALGs, only DNS, FTP, RTSP, and TFTP ALGs are supported. Other ALGs are not supported.另外透明模式不支持NAT IPSEc vpn 等。

尽管2层桥能力真心不错，在SRX上也能用。

类似于MX上的桥工恩呢该。

但是有些MX支持的功能在SRX上是不支持的。

毕竟他是安全产品么。

∙Layer 2 control protocols—These protocols are used on MX Series routers for Rapid Spanning Tree Protocol (RSTP) or MultipleSpanning Tree Protocol (MSTP) in customer edge interfaces of a VPLS routing instance.∙Virtual switch routing instance—The virtual switching routing instance is used on MX Series routers to group one or more bridge domains.∙Virtual private LAN services (VPLS) routing instance—The VPLS routing instance is used on MX Series routers forpoint-to-multipoint LAN implementations between a set of sites ina VPN.In addition, the SRX Series devices do not support the following Layer 2 features:∙Spanning Tree Protocol (STP), RSTP, or MSTP—It is the user’s responsibility to ensure that no flooding loops exist in the network topology.∙Internet Group Management Protocol (IGMP)snooping—Host-to-router signaling protocol for IPv4 used to report their multicast group memberships to neighboring routers and determine whether group members are present during IP multicasting. ∙Double-tagged VLANs or IEEE 802.1Q VLAN identifiers encapsulated within 802.1Q packets (also called “Q in Q” VLAN tagging)—Only untagged or single-tagged VLAN identifiers are supported on SRX Series devices.∙Nonqualified VLAN learning, where only the MAC address is used for learning within the bridge domain—VLAN learning on SRX Series devices is qualified; that is, both the VLAN identifier and MAC address are used.。

4.2 防火墙透明工作模式的配置前置知识:防火墙的透明工作模式，相当于防火墙端口工作于透明网桥模式，即防火墙的各个端口所连接的计算机均处于同一IP子网中，但不同接口之间的计算机的访问要受安全规则的制约。

因此这对内部网络中需要对某些计算机采取强化控制措施时是很用的。

这是对网络变动最少的接入控制方法，广泛应用于原来网络的安全升级中，而原有的拓扑只要稍加改动即可。

实验目的1.了解什么是防火的透明工作模式2.掌握防火墙透明工作模式的配置方法，并在防火墙中设置简单规则以实现对外部设备访问的控制实验器材1.DCFW-1800S-K/VPN防火墙一台2.交叉网线两根3.PC机两台实验拓扑及规划试验步骤1.给防火墙LAN(if1)接口设置IP地址及添加管理机地址在命令行方式下利用admin用户登录到防火墙，执行如下操作：# ifconfig if1 192.168.100.100/24# ifconfig if1 192.168.100.100/24# adminhost add 192.168.100.101# apply# save做了如上修改之后，修改本地计算机的“测试”网卡地址为“192.168.100.101”，并启动浏览器、用admin用户登录到防火墙。

2. 进入网桥设置主界面选择“首页”|“系统”|“网桥设置”命令，如图1所示：图1 网桥设置界面3．启用网桥单击图1中“网桥设备”中的“bridge0”右边的“修改”按钮，进入如图2所示的界面，选中“修改网桥设置”选项卡，随后选中“启用”复选框，以启用网桥。

图2 启用网桥设置4．向网桥中添加接口选中“网桥bridege0接口设置”选项卡，如图3所示。

图3启用网桥设置单击“新增”按钮，将if0和if1接口加入bridge0，完成后的界面如图4所示。

图4 向bridge0中加入接口而后选“修改网桥设置”选项卡，回到图25所示界面，单击“确定”按钮，回到主界面，如图5所示，为使设置生效，依次单击“应用”和“保存”按钮。

透明网桥模式防火墙配置透明网桥模式是一种常用于防火墙配置的网络架构。

它能够提供更高的灵活性和可配置性，并且可以无缝地集成到现有的网络环境中。

在这种模式下，防火墙实际上是一个透明的设备，不需要对网络中的其他设备进行任何的配置更改。

下面是一个基于透明网桥模式的防火墙配置的示例，重点介绍了一些重要的配置步骤和注意事项。

1.网络拓扑规划：首先需要规划网络拓扑，确定防火墙的位置和连接方式。

在透明网桥模式下，防火墙通常被放置在内部网络和外部网络之间的物理链路上，作为网络流量的桥接点。

2.配置防火墙：根据网络拓扑规划，为防火墙配置IP地址和其他必要的网络参数。

确保防火墙的固件和软件是最新的，并配置相关的安全策略。

3.物理连接：将防火墙的内部接口和外部接口分别连接到内部网络和外部网络上的交换机或路由器。

确保连接线路正常并且连接稳定。

4.IP地址分配：为防火墙的内部接口和外部接口分别分配独立的IP地址。

确保内部和外部接口的IP地址是在不同的网络段中，并且与已有设备的IP地址不冲突。

5.配置透明网桥：在防火墙上配置透明网桥，并指定内部接口和外部接口。

透明网桥将内部网络和外部网络桥接起来，实现数据的透明传输。

配置透明网桥时需要注意避免造成网络环路。

6.安全策略配置：配置防火墙的安全策略，包括访问控制列表（ACL）、入侵检测和防御系统（IDS/IPS）等。

根据实际需求和网络环境，制定和实施相应的安全策略，确保网络安全。

7.流量监控和日志记录：配置防火墙的流量监控和日志记录功能，可以实时和事后审计网络流量，并及时发现和处理潜在的安全威胁。

8.测试和优化：在配置完成后，进行测试验证防火墙的功能和性能。

通过对网络流量和安全策略的实际测试，发现和解决可能存在的问题，并进行必要的优化。

透明网桥模式的防火墙配置需要在网络规划、物理连接、IP地址分配、透明网桥配置、安全策略配置、流量监控、日志记录以及测试和优化等方面进行细致的配置和调整。

1、使用超级终端，名称任意，连接com端口，回车，出现<H3C>表明已经连接了防火墙。

2、输入一系列配置命令如下：[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit[H3C]firewall zone trust[H3C-zone-trust]add interface ethernet0/0The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/1The interface has been added to trust security zone.[H3C-zone-trust]add interface ethernet0/2The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]bridge enableBridge module has been activated[H3C]bridge 1 enableBridge set has been activated[H3C]interface bridge-template 1[H3C-Bridge-template1]ip address 192.168.1.188 255.255.255.0[H3C-Bridge-template1]quit[H3C]interface ethernet0/0[H3C-Ethernet0/0]bridge-set 1The port has been in the set[H3C-Ethernet0/0]quit[H3C]interface ethernet0/1[H3C-Ethernet0/1]bridge-set 1The port has been in the set[H3C-Ethernet0/1]interface ethernet0/2[H3C-Ethernet0/2]bridge-set 1The port has been in the set[H3C-Ethernet0/2]quit[H3C]firewall zone trust[H3C-zone-trust]add interface bridge-template 1The interface has been added to trust security zone.[H3C-zone-trust]quit[H3C]saveThe configuration will be written to the device.Are you sure?[Y/N]yNow saving current configuration to the device.Saving configuration flash:/config.cfg. Please wait...................Current configuration has been saved to the device successfully.[H3C]3、进入WEB页面配置IP地址：192.168.1.122 子网掩码：255.255.255.0IE地址栏：http:// 192.168.1.185（省调项目）188（SIS网的防火墙）用户名：Admin 密码：Admin我们在web页面配置下，没有什么重要的配置，只是要勾选下所有的攻击类型。

实验七、防火墙透明模式配置实验目的1.了解什么是透明网络模式2.了解如何配置防火墙为透明模式应用环境透明模式即相当于防火墙工作于透明网桥模式。

防火墙进行防范的各个区域均位于同一网段。

在实际应用网络中，这是对网络变动最少的接入方法，广泛用于大量原有网络的安全升级中。

实验设备1.防火墙设备一台2.Console线一条3.交叉网络线三条4.直通网络线一条5.PC机2三台实验拓扑实验要求1.防火墙网桥模式初始配置2.配置相关网络对象和服务对象3.配置安全规则安全规则为：PC1为内网主机，PC2为外网主机。

PC1：允许访问外网的HTTP，FTP，ping；PC2：不允许访问内网；4.实验验证实验步骤连接实验环境按照拓扑图，使用二根交叉双绞线将二台PC机与防火墙的对应端口连接在一起（实验验证用）。

防火墙网桥模式初始配置进入防火墙命令行管理界面，按照拓扑图的IP地址规划，配置防火墙的管理主机地址和LAN口地址，以便进行图形化界面管理。

# ifconfig if1 192.168.1.77/24# adminhost add 192.168.1.10# apply# save修改PC1的地址为拓扑所示（192.168.1.10），则可以通过IE浏览器进行防火墙的安全图形界面管理了。

在系统->网桥设置中，启用bridge0，并点击右侧修改按钮，如下所示：点击启用，然后点开网桥bridge0接口设置标签，使用新增按钮分别添加防火墙的lan （if1）和wan（if0）口。

系统提示操作成功后，可以得到如下界面显示：点击右上角的应用按钮，然后保存配置，网桥模式启动成功。

注：MAC缓冲池大小一般与内网连接的用户数有关，可以根据实际需要对此数值进行更改，一般需要比内网用户数多。

配置相关网络对象和服务对象在DCFW-1800系列中，配置安全规则之前，需要定义一系列的服务对象和网络对象。

所谓网络对象，就是指防火墙的安全规则所针对的网络节点或网络节点群，安全规则就是以网络对象为基本的检查单元进行安全检查决定是否允许某个网络对象的数据转发与否。

普通网络环境防火墙配置透明模式题记：大多数的防火墙或者说是UTM部署的模式有路由模式，网桥模式，混杂模式，配置最核心的也就是写规则，一个好的规则会使得内部网络的安全性得到较大的改善，当然如果是UTM可能还会附加上一些其他的安全组件，例如见的最多的就是AV防病毒组件，IPS组件，anti-spam反垃圾邮件组件等，有的还有一些上网行为管理（比较薄弱），VPN等组件，本次主要是以启明星辰的USG系列设备的常见部署模式进行配置说明，其他的厂商的防火墙配置内容都是大同小异，掌握一家的其他的自然也就很容易上手，学习就要善于总结归纳，将有共同点的知识技能归纳，做到一劳多得！！实验环境：1、防火墙工作在桥模式。

2、防火墙的eth2 和eth3 加入网桥组1（BVI1）。

网桥组1 配置防火墙管理IP：192.168.0.249/243、eth2 接口连接课桌上的网线口(如A1-1)通过交换机与网络相连，网关为192.168.0.1.4、eth3 直接与主机相连，主机IP 设为192.168.0.5实验拓扑：通过下面的简单操作，用户可以快速地安装配置好一台防火墙，并且，防火墙内部网的机器能够直接访问internet。

网络拓扑如下图所示：实验步骤如下：1.进入“网络设置-接口-透明桥”点击“新建”。

在桥名称中填入“BVI1”，桥组号中填入“1”，接口列表中选择“eth2”和“eth3”。

为便于对防火墙的管理可以将“管理访问”下的选项全部选择。

因为“eth2”和“eth3”使用的是桥模式，所以桥的IP 地址和掩码可以不配。

因为是透明桥模式，所以配置的IP 和掩码：192.168.0.249/24，是用于管理防火墙的IP，对网络没有什么影响。

参数配置完毕后，点击“提交”。

点击右上角图标保存配置。

2.进入“网络设置》基本配置缺省网关”点击“新建”添加网关。

提交并保存3.进入“防火墙》安全策略”点击“新建”，配置eth3 到eth2 的“全通”安全策略。

项目名称： 配置防火墙透明模式学习目标：了解什么是透明网络模式掌握防火墙透明模式的配置及应用学习情境：透明模式即相当于防火墙工作于透明网桥模式。

防火墙的各个安全区域均为同一网段当中。

在实际应用网络中，无需变动网络的拓扑结构，广泛应用大量原有网络的安全升级项目。

教学设备：防火墙设备一台Console 线一条交叉线两条PC 机两台拓扑结构：一、基本操作训练（CLI 模式下完成下列操作，本部分操作与拓扑图无关）1、为eth1口设置IP 地址（10.1.1.1/24）；2、定义area-eth1区域；3、定义管理主机（manager-host ）地址10.1.1.10；2、为eth1口设置管理方式，允许管理主机从eth1口以telnet 的方式登录防火墙。

二、防火墙备份与恢复操作（本部分操作与拓扑图无关）2 50 . 1 . 1 . 2 / 24 Eth 50 . 1 . 1 .3 / 24 50 . 1 . 1 . 1 / 241、下载防火墙保存配置文件2、下载防火墙运行配置文件3、上传防火墙保存配置文件三、防火墙透明模式配置实践操作（参照拓扑图，在CLI模式下完成下列操作）1、创建VLANTopsecOS# network vlan add id 102、配置VLAN地址TopsecOS# network interface vlan.10 ip add 50.1.1.1 mask 255.255.255.03、激活VLANTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode accessTopsecOS# network interface eth1 switchport access-vlan 10TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport access-vlan 10TopsecOS# network interface eth2 no shutdown结果及验证：可以通过两台PC互ping进行测试和验证，如可连通对方，说明配置正确。

♦原理差别：
1、透明桥是通过类似于ARP代理的方式实现，启用后WAN1和LAN之间通过ARP代理实现。

2、桥接是通过硬件的方式实现，启用后WAN1和LAN之间实现网桥功能。

♦具体配置比较说明：
1、透明桥模式配置说明：（原网络是192.168.1.0/24网段，以VE1260为例）
首先配置VE1260的外网口，分配一个和计算机同网段的静态IP 地址，如下图中是192.168.1.2，网关指向上层路由器的内网口IP 192.168.1.1。

其次配置VE1260的内网口，内网口配置一个和外网口同网段的IP地址（或同一个IP ）即可，下图中配置同网段的192.168.1.3
最后把内网所有设备，包括下面的中心层交换机全部重启。

经过以上步骤，内网计算机不用修改原来IP设置便可正常上外网，而且可以在VE1260上对内网计算机进行上网行为管理。

2、桥接模式的配置说明：（原网段同样是192.168.1.0/24网段）
首先在VE1260的外网口启用桥接模式，启用后路由器的外网口自动关闭，不用配置，只需把网关地址指向上层设备的内网口IP ，具体配置如下：
然后配置VE1260的内网口，内网配置一个和计算机同一网段但未被使用的IP 即可，下图中配置同网段的192.168.1.2.
最后把路由器重启即可。

♦具体生效功能说明：
1、透明桥模式下，基本所有功能都生效。

2、桥接模式下，上网行为管理、流量控制、DHCP功能生效。

♦原理差别：
1、透明桥是通过类似于ARP代理的方式实现，启用后WAN1和LAN之间通过ARP代理实现。

2、桥接是通过硬件的方式实现，启用后WAN1和LAN之间实现网桥功能。

♦具体配置比较说明：
1、透明桥模式配置说明：（原网络是192.168.1.0/24网段，以VE1260为例）
首先配置VE1260的外网口，分配一个和计算机同网段的静态IP 地址，如下图中是192.168.1.2，网关指向上层路由器的内网口IP 192.168.1.1。

其次配置VE1260的内网口，内网口配置一个和外网口同网段的IP地址（或同一个IP ）即可，下图中配置同网段的192.168.1.3
最后把内网所有设备，包括下面的中心层交换机全部重启。

经过以上步骤，内网计算机不用修改原来IP设置便可正常上外网，而且可以在VE1260上对内网计算机进行上网行为管理。

2、桥接模式的配置说明：（原网段同样是192.168.1.0/24网段）
首先在VE1260的外网口启用桥接模式，启用后路由器的外网口自动关闭，不用配置，只需把网关地址指向上层设备的内网口IP ，具体配置如下：
然后配置VE1260的内网口，内网配置一个和计算机同一网段但未被使用的IP 即可，下图中配置同网段的192.168.1.2.
最后把路由器重启即可。

♦具体生效功能说明：
1、透明桥模式下，基本所有功能都生效。

2、桥接模式下，上网行为管理、流量控制、DHCP功能生效。

安全设备的⼯作模式通常可以分为串联模式和旁路模式两⼤类。

这篇⽂章应该是属于基础知识了，本来以为⼤家都知道，但是最近发⽣的⼀件事，让我决定写⼀些关于⽹络安全基础知识的⽂章。

写的不好的地⽅，⼤家多多包涵。

事情是这样的，前⼏天跟⼀个朋友聊天，聊到了最近的华为事件，然后聊了⽹络安全的各种新闻、事件，讲的头头是道。

后来说起安全设备，我提了⼀句这个设备得路由模式部署，不然有的功能⽤不了。

我那朋友⼀脸懵圈问我，啥是路由模式？WHAT？你不知道啥是路由模式？后来我们再聊了⼏句，发现这朋友对⼀些基础性的东西了解的很少，许多事情只是知道⼤概怎么回事，所掌握的知识就像空中楼阁。

所以，我觉得很有必要写⼀些关于基础的东西。

今天，先给⼤家讲⼀讲安全设备的⼏种部署⽅式。

当然，⼤神们可以直接绕过。

安全设备的⼯作模式通常可以分为串联模式和旁路模式两⼤类。

（1）串联模式顾名思义，在这种⼯作模式下，安全设备是串联在⽹络链路中的，所有的⽹络流量都会经过安全设备过滤，再转发出去。

串联模式⼜分为两种，⼀是路由模式，⼆是透明模式。

①路由模式路由模式也叫作⽹关模式，是指把安全设备当做⼀个路由设备或⽹关来使⽤。

局域⽹中的出局流量先指向安全设备的内⽹⼝IP地址，安全设备通过静态或动态路由配置或者NAT地址转换，将数据发送出去。

②透明模式透明模式也称⽹桥模式、桥接模式，⼯作在这种模式时，原有的⽹络设备不⽤更改任何配置，在⽹络链路上完全透明。

对于安全设备不⽤配置与交换机、路由器互联的IP地址，只需要配置⼀对内部桥接⽤的IP地址即可。

看拓扑图直观⼀些。

如图所⽰，左侧是未接⼊安全设备的⽹络配置和拓扑图，交换机上联端⼝G1/1配置IP地址为192.168.1.1/30，路由器下联端⼝G1/1配置IP地址为192.168.1.2/30，交换机与路由器之间只需配置路由相互指向即可。

中间是路由模式下，接⼊安全设备之后的⽹络拓扑图，对⽐左图可以看出，交换机的配置没有改变，安全设备的下联接⼝IP配置为192.168.1.2/30，这是左图中路由器下联接⼝的IP地址，安全设备的上联接⼝IP配置为192.168.2.1/30，路由器的下联接⼝也相应改为192.168.2.2/30。