一、防火墙的部署方式

方式1：透明模式（桥模式）

防火墙设备提供两个接口，一个进、一个出。用户连接到防火墙，向公网发送数据包，经过防火墙到达目标服务器。防火墙只提供检测五元组的功能。内外网访问透明，可直接观测发送接收双方真实的IP地址。

优点：直接串联到链路上，不改变原有的网络IP地址配置。可以直接使用。

缺点：传输透明，发送接收方IP地址不变。外网攻击者可通过用户真实IP直接攻击到内网的特定用户主机。

方式2：网关模式

内网与防火墙之间设有一个入网的网关地址，防火墙与外网之间设有一个出网的网关地址。两个地址不同。

内网用户向外网服务器发送一个数据包时，首先向入网网关发送，交给防火墙，再由防火墙交给出网网关，发送至公网服务器。

优点：内外网之间不透明，防火墙实现了路由器的功能，为不同网段的互通做路由转发。外网只能监测到防火墙的IP地址，不能监测内网的发送主机IP。使外网攻击者只能攻击防火墙，避免了内网主机遭受直接打击的情况。

缺点：使用时需要配置网关地址，提供服务是时需要做地址翻译NAT（Network Address Translation），使用前需进行相应的网络配置，不能直接使用。

二、防火墙技术

1.网络地址转换（网络地址翻译）

内部可以主动访问外部，外部不能主动访问内部

内网与外网连接时，内网向防火墙发送数据包，防火墙将数据包源地址改为防火墙的公网地址，并向外网服务器转发。

外网服务器回发数据包时，发送至防火墙，防火墙将数据包的目的地址改为内网原发送主机的内网地址，并转发给该主机。

优点：内网采用私网地址，可扩大主机数量，避免公网地址数量少的缺点。隐藏内部网络结构，外网的入侵者，及即使监听到用户的通信，也无法确定用户的实际IP地址，无法确定攻击目标。

注：三类私网地址段：

A类：10.0.0.1-10.255.255.254

B类：172.16.0.0.1-172.31.255.254

C类：192.168.0.1-192.168.255.254

2.地址映射MAP

外部想访问内部服务器，需要地址映射MAP

首先在防火墙进行地址映射配置，将内网的主机地址与防火墙公网地址的不同端口进行相对应配置。

外网相要访问内网的某台服务器时，可直接访问防火墙公网地址的相应端口，防火墙接收到数据包时，根据映射配置自动转发至内网的特定服务器上。内网回发数据包同理。

优点：外部攻击者攻击网站时，只能攻击防火墙，无法攻击到网站服务器。攻击在防火墙阶段已经被截断。

3.高可靠性HA

虚拟路由冗余协议（Virtual Router Redundancy Protocol）

主备型：一台服务一台备用，同时两台之间连接控制。主设备无法工作时，备用设备将连接自动转移至备用设备。用户在使用上不会受到主设备暂停工作的影响。

主主型：两台设备同时服务，同时两台之间连接控制。一台设备无法工作时，另一台设备将连接自动转移。用户在使用上不会受到设备暂停工作的影响。

目前在各企业的骨干网络，通常使用典型的双冗余骨干网络设计。以保障服务畅通

三、下一代防火墙NGFW定义

NGFW技术核心：

NGFW与UTM的差异：

四、防火墙的新趋势-软件化

防火墙的未来发展方向：

处理能力高速化

检测能力智能化

部署方式软件化