防火墙三种工作模式.docx

华为防火墙工作模式 2011-07-25 09:58:36 【大 中 小】   · 华为防火墙TSM联动 TSM联动主要是Eudemon 1000E同TSM安全接入控制系统（后... · 华为防火墙IDS联动 IDS联动的作用在于统一安全网关与放置于内部网络的IDS...   工作模式分类 介绍Eudemon 1000E的工作模式的分类。 具体包括： · 路由模式 · 透明模式 · 混合模式 三者的区别如表1所示。 表1 三种工作模式的区别 路由模式 透明模式 混合模式 内部网络和外部网络属于不同的子网 内部网络和外部网络属于相同的子网 混合模式介于路由模式和透明模式，既可以配置接口工作在路由模式（接口具有IP地址），又可以配置接口工作在透明模式（接口无IP地址），主要在Eudemon 1000E进行双机热备时使用。 需要重新规划原有的网络拓扑 无需改变原有的网络拓扑 接口需要配置IP地址 接口不能配置IP地址 接口所在的安全区域是三层区域 接口所在的安全区域是二层区域   路由模式 当Eudemon 1000E位于内部网络和外部网络之间时，需要为Eudemon 1000E与内部网络和外部网络相连的接口分别配置不同网段的IP地址，重新规划原有的网络拓扑，此时Eudemon 1000E相当于一台路由器。 Eudemon 1000E路由模式典型组网方式如图1所示。 Eudemon 1000E的Trust区域接口与公司内部网络相连，Untrust区域接口与外部网络相连。值得注意的是，Trust区域接口和Untrust区域接口分别处于两个不同的子网中。 路由模式的Eudemon 1000E支持ACL规则检查、ASPF状态过滤、NAT转换、攻击防范检查、流量监控等功能。 透明模式 如果Eudemon 1000E采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时Eudemon 1000E对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到Eudemon 1000E的存在。 采用透明模式时，只需在网络中像放置网桥（Bridge）一样插入Eudemon 1000E即可，无需修改任何已有的配置。 Eudemon 1000E透明模式典型组网方式如图1所示。 所示，Eudemon 1000E的Trust区域接口与公司内部网络相连，Untrust区域接口与外部网络相连，内部网络和外部网络处于相同的子网。 透明模式的Eudemon 1000E支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。 混合模式 当Eudemon 1000E工作在混合模式时，Eudemon 1000E既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址）。 混合模式主要用于透明模式作双机备份的情况，此时启动VRRP（Virtual Router Redundancy Protocol）功能的接口需要配置IP地址，其他接口不需要配置IP地址。 Eudemon 1000E混合模式典型组网方式如图1所示。  ，主/备Eudemon 1000E的Trust区域接口与公司内部网络相连，Untrust区域接口与外部网络相连，主/备Eudemon 1000E之间互相连接，并运行VRRP协议进行备份。 内部网络和外部网络必须处于同一个子网。 防火墙配置：