精彩讨论:
powdera |
|
||
发帖: 36 注册: 2002-11-16 |
交换模式是采用透明网桥的原理,工作时在网络里相当于二层交换机。路由模式内部有 路由模块在工作,在网络里起到路由的功能。 这两者都对通过的数据包进行检测,状态检测能力上应该是相同的。 协议处理上,虽然路由模式下增加了路由表查找的负担,但是如果用于比较简单的网络 结构,路由表比较小的话,两者性能差别不大。 安全性上,交换模式的好处是本身可以完全没有IP地址,可以防止对防火墙的攻击,而 路由模式则是肯定要有IP的。 另外,如果需要NAT的话,用路由模式会更合理些。 暂时就想到这些。 |
||
powdera |
|
||
发帖: 36 注册: 2002-11-16 |
"南阳岩冰"网友的解释颇有新异。 原来是这样理解防火墙的基本技术的... 原来有这样的理论水平才可以在家里搞所谓替代防火墙的“第五代GAP”... 属实有点玄 ... |
||
南阳岩冰 |
|
||
发帖: 3835 注册: 2001-03-28 |
真是有点儿玄。。。 如果做透明桥转发,数据帧在通过防火墙的时候,防火墙只是充当了交换机的功能,这样的防火墙,不要也罢。 在路由模式下进行数据包过虑难道不是基于路由功能么???如果防火墙充当了路由器的功能,在路由器后边架设防火墙简直是多此一举,配置路由器访问控制列表就能解决策略问题,要防火墙还有什么用呢? 如果是基于状态检测的SPI技术判断,是不是就在内部策略模块上有一个挑战返回呢? 还有NAT,路由器也能完成的功能,为啥掏钱要买防火墙? 南阳岩冰 编辑于 2003-06-27 15:23 --- 曾为梅花醉不归。佳人挽袖乞新词。轻红遍写鸳鸯带,浓碧争斟翡翠卮。 人已老,事皆非。花前不饮泪沾衣。如今但欲关门睡,一任梅花作雪飞。 |
||
fong |
|
||
发帖: 34 注册: 2002-08-12 |
1、我也经常听过交换模式下的防火墙“工作时在网络里相当于二层交换机”,但是我感觉在实现上和交换机会有所不同,我记得交换模式有用ARP代理来实现的,有些防火墙在交换模式下都要设置路由。 2、不管是交换模式还是路由模式,防火墙由于某些功能的需要,会处理网络层、传输层和应用层的数据,其状态检测等技术都相同,这些因素好象不影响两者的安全性和性能。 在安全性上,路由模式也可以设置到外界无法访问防火墙,我好象听过路由模式又比交换模式安全的,只是那个人也说不出原因。 |
||
powdera |
|