防火墙的接口特性

http://book.51cto.com/art/201106/267566.htm

基于VLAN 的防火墙组网实例

目前，企业内部局域网大多采用VLAN 技术组网，而各大公司也相继推出了支持VLAN 技术的网络防火墙。这种类型的防火墙在VLAN 局域网络中应用更加方便、灵活。

笔者就实际工作中遇到的一个基于VLAN 的防火墙应用例子为大家作介绍。

防火墙的接口特性

在介绍实例前，首先必须明确防火墙的接口特性与工作模式（以实例中的天融信网络卫士防火墙NGFW4000为例）。

防火墙一般可以在路由模式、透明模式及混合模式3种模式下工作。

1. 路由模式

在这种模式下，网络防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。

路由模式适用于每个区域都不在同一个网段的情况。和路由器一样，防火墙的每个接口均要根据区域规划配置IP 地址。

2. 透明模式

这种模式下，示例采用的天融信NGFW4000 防火墙的所有接口均作为交换接口工作。

也就是说，对于同一VLAN 的数据包在转发时不做任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，防火墙可以在设置了IP 的VLAN 之间进行路由转发。

要强调的是，在透明模式下首先需要确定该接口的类型是“Access”还是“Trunk”。

如果是“Access”接口，则表示该防火墙交换接口只属于一个VLAN，需要指定所属的VLAN ID 号码。

如果选择该交换接口属于“Trunk”接口，即表示该交换接口可以同时属于多个VLAN。对于Trunk 接口数据的封装方式，系统支持802.1q 方式和ISL 方式两种数据封装方式。

需要说明的是，本例采用的天融信防火墙NGFW4000的这种透明模式不同于一般防火墙的透明模式，它是基于VLAN 配置的。也就是说，启用这种模式，在防火墙两侧的交换机必须定义与之相对应的VLAN ；反之，如果是不支持VLAN 配置的普通交换机，则不能与它一起使用。

3. 混合模式

顾名思义，混合模式就是前两种模式的混合。也就是说，某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。

混合模式适用于较复杂的网络环境，在此不作详细说明。