HuaWei ❀ Firewalld 部署模式总结

Posted 国家级干饭型选手°

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HuaWei ❀ Firewalld 部署模式总结相关的知识,希望对你有一定的参考价值。

为了增加防火墙组网的灵活性,设备不再定义整个设备的工作模式,而是定义接口的工作模式,接口的工作模式主要如下:

  • 路由模式:如果设备接口具有IP地址通过三层与外层连接,则认为该接口工作在路由模式下;
  • 透明模式:如果设备接口无IP地址通过二层与外层连接,则认为该接口工作在透明模式下;
  • 混合模式:如果设备既存在工作在路由模式的接口,也存在工作在透明模式的接口,则认为该设备工作在混合模式;

1、路由模式

当设备位于内部网络和外部网络之间,同时为设备与内部网络、外部网络相连的接口分别配置不同网段的IP地址,并重新规划原有的网络拓扑结构;
如下图所示,规划了两个安全区域,Trust区域和Untrust区域,设备的Trust区域与内网相连,Untrust区域与外网相连;
在这里插入图片描述

当报文在三层区域的接口间进行转发时,根据报文的IP地址来查找路由表,此时设备表现为一个路由器,但是与路由器不同的是设备转发还需要进行过滤等相关处理,通过检查会话表或者ACL规则以确定是否运行该报文通过,除此之外,防火墙还需要完成其它攻击防范检查;
采用路由模式时,可以完成ACL包过滤、ASPF动态过滤等功能,然而路由模式需要对网络拓扑结构进行修改,例如内网网络用户更改网关,路由器需要配置更改路由配置等,进行网络改造前,请权衡利弊;

2、透明模式

如果设备工作在透明模式,则可以避免改变拓扑结构,此时设备对于子网用户来说是完全透明的,即用户感觉不到设备的存在;
设备透明模式的典型组网结构如下图所示,设备的Trust区域接口与公司内网网络相连,Untrust区域接口与外部网络相连,需要注意的是,Trust区域和Untrust区域接口必须处于同一个子网中;
在这里插入图片描述

采用透明模式部署,只需要在网络中像放置网桥一样插入设备即可,无需修改任何已有的配置,IP报文同样会经过相关的过来检查,内网网络用户依旧受到防火墙的保护;
在这里插入图片描述

如上图所示,安全区域A和B在同一网段且有数据交互,连接安全区域A和B的接口分别加入VLAN A和VLAN B,且必须加入VLAN A和VLAN B的组成的桥接组,当防火墙在这两个透明模式的接口间转发报文时,需要先进行VLAN桥接,将报文入VLAN变换为出VLAN,在根据报文的MAC地址查MAC地址表找到对应的出接口,此时设备表现为一个透明网桥,但是设备与网桥不同,设备转发的IP报文还需要送到上层进行过滤等相关处理,通过检查会话表或ACL规则以确定是否允许该报文通过,此外防火墙还需要完成其它攻击防范检查;
要求两个工作在透明模式且有数据交互的接口,必须加入到不同的VLAN中;同时这两个接口必须加入同一个VLAN桥接组中,而且只能加入一个桥接组;
设备在透明模式的接口上进行MAC地址学习,在透明模式的接口间转发报文时,通过查MAC地址表进行二层转发;

3、混合模式

如果设备既存在在工作在路由模式的接口,又存在工作在透明模式的接口,则认为设备工作在混合模式下;
在这里插入图片描述

网络A和B是不同的网段,设备连接网络A和B的接口是三层接口,对A和B之间的报文要进行路由转发;网络C和D是相同网段,设备连接网络C和D的接口是二层接口,对C和D之间的报文要进行VLAN桥接和二层转发;

以上是关于HuaWei ❀ Firewalld 部署模式总结的主要内容,如果未能解决你的问题,请参考以下文章

HuaWei ❀ Firewalld 包过滤防火墙

HuaWei ❀ Firewalld 思维导图梳理

HuaWei ❀ Firewalld 安全区域

HuaWei ❀ Firewalld 端口映射

HuaWei ❀ Firewalld ASPF-状态防火墙

HuaWei ❀ Firewalld 流量统计与监控原理