HuaWei ❀ Firewalld 部署模式总结

Posted 2021-07-31 国家级干饭型选手°

文章目录

• 1、路由模式
• 2、透明模式
• 3、混合模式

为了增加防火墙组网的灵活性，设备不再定义整个设备的工作模式，而是定义接口的工作模式，接口的工作模式主要如下：

• 路由模式：如果设备接口具有IP地址通过三层与外层连接，则认为该接口工作在路由模式下；
• 透明模式：如果设备接口无IP地址通过二层与外层连接，则认为该接口工作在透明模式下；
• 混合模式：如果设备既存在工作在路由模式的接口，也存在工作在透明模式的接口，则认为该设备工作在混合模式；

1、路由模式

当设备位于内部网络和外部网络之间，同时为设备与内部网络、外部网络相连的接口分别配置不同网段的IP地址，并重新规划原有的网络拓扑结构；
如下图所示，规划了两个安全区域，Trust区域和Untrust区域，设备的Trust区域与内网相连，Untrust区域与外网相连；

当报文在三层区域的接口间进行转发时，根据报文的IP地址来查找路由表，此时设备表现为一个路由器，但是与路由器不同的是设备转发还需要进行过滤等相关处理，通过检查会话表或者ACL规则以确定是否运行该报文通过，除此之外，防火墙还需要完成其它攻击防范检查；
采用路由模式时，可以完成ACL包过滤、ASPF动态过滤等功能，然而路由模式需要对网络拓扑结构进行修改，例如内网网络用户更改网关，路由器需要配置更改路由配置等，进行网络改造前，请权衡利弊；

2、透明模式

如果设备工作在透明模式，则可以避免改变拓扑结构，此时设备对于子网用户来说是完全透明的，即用户感觉不到设备的存在；
设备透明模式的典型组网结构如下图所示，设备的Trust区域接口与公司内网网络相连，Untrust区域接口与外部网络相连，需要注意的是，Trust区域和Untrust区域接口必须处于同一个子网中；

采用透明模式部署，只需要在网络中像放置网桥一样插入设备即可，无需修改任何已有的配置，IP报文同样会经过相关的过来检查，内网网络用户依旧受到防火墙的保护；

如上图所示，安全区域A和B在同一网段且有数据交互，连接安全区域A和B的接口分别加入VLAN A和VLAN B，且必须加入VLAN A和VLAN B的组成的桥接组，当防火墙在这两个透明模式的接口间转发报文时，需要先进行VLAN桥接，将报文入VLAN变换为出VLAN，在根据报文的MAC地址查MAC地址表找到对应的出接口，此时设备表现为一个透明网桥，但是设备与网桥不同，设备转发的IP报文还需要送到上层进行过滤等相关处理，通过检查会话表或ACL规则以确定是否允许该报文通过，此外防火墙还需要完成其它攻击防范检查；
要求两个工作在透明模式且有数据交互的接口，必须加入到不同的VLAN中；同时这两个接口必须加入同一个VLAN桥接组中，而且只能加入一个桥接组；
设备在透明模式的接口上进行MAC地址学习，在透明模式的接口间转发报文时，通过查MAC地址表进行二层转发；

3、混合模式

如果设备既存在在工作在路由模式的接口，又存在工作在透明模式的接口，则认为设备工作在混合模式下；

网络A和B是不同的网段，设备连接网络A和B的接口是三层接口，对A和B之间的报文要进行路由转发；网络C和D是相同网段，设备连接网络C和D的接口是二层接口，对C和D之间的报文要进行VLAN桥接和二层转发；