目前主要的接入方式:交換方式,路由模式,混合模式,鍊路捆綁模式,撥号模式。
1,交換模式:
此模式下,防火牆所有接口都為交換接口。對于同一VLAN的資料包在轉發時不做任何改動,包括IP和MAC位址,直接把包轉發出去。
當網絡已經建立并成熟運作,防火牆的接入是為了增強現有網絡的防禦能力時一般采用此Access模式。因為在這種模式下接入防火牆,對網絡通信造成的影響最少,能夠最小限度改動網絡節點的網絡屬性(網絡拓撲結構,網絡裝置位址等)。
交換模式下通信,防火牆會很好的支援VLAN,交換接口的工作模式可以支援ACCESS和TRUNK。對于包的轉發,防火牆将不改變通信資料包的標頭資訊,避免各個防火區域中應用裝置管理位址的重新整理。
防火牆能夠對協定進行深層次分析并且能夠識别,處理各類封裝格式,如802.1Q,QinQ,MPLS等,以便能夠在複雜的網絡環境下進行更靈活的接入,處理更多的情況。
(1):對802.1Q封裝格式的處理
IEEE802.1Q俗稱“Dot One Q”,是經過IEEE認證的對資料幀附加VLAN識别資訊的協定。
IEEE802.1Q所附加的VLAN識别資訊位于資料幀中“發送源MAC位址”與“類别域”之間。具體位置為2位元組的TPID和2位元組的TCI,共計4位元組。在資料幀中添加4位元組。在資料幀添加了4位元組的内容,資料幀上CRC是插入TPID,TCI後對包括他們在内的整個資料幀重新計算後所得到的數值。當資料幀從防火牆接口轉發出去時TPID和TCI會被去除,這時還會進行一次CRC的重新計算。TPID的值固定為0X8100.防火牆通過TPID來确定資料幀内附加了基于IEEE802.1Q的VLAN資訊。實際的VLAN ID 是由TCI中12位的VLAN辨別判斷。
(2)對QinQ的處理:
在IEEE802.1Q定義的VLAN Tag域中,隻有12位用于表示VLAN ID,是以裝置最多可以支援4094個VLAN。但在實際應用中,尤其是在城域網中,需要大量的VLAN來隔離使用者,4094個VLAN遠遠不能滿足需求,于是QinQ技術應運而生。
防火牆開啟端口的QinQ功能後,當該端口接收到封包,無論封包是否帶有VLAN标簽,防火牆都會為該封包打上本端口ACCESS VLAN的VLAN标簽,如果是TRUNK口則會打上NATIVEVLAN的VLAN标簽。這樣,如果接受到已經帶有VLAN标簽。這樣,如果接收到的是帶有VLAN标簽的封包,該封包就成為雙标簽的封包;如果接收到的是不帶VLAN标簽的封包,該封包就成為帶有端口預設VLAN标簽的封包。
(3)對MPLS封包處理:
MPLS(多标簽協定交換)獨立于第二層和第三層協定,提供一種方式,将IP位址映射為簡單的具有固定長度的标簽,用于不同的包轉發和包交換技術。
當防火牆工作在透明模式,開啟MPLS穿透功能時,對通過防火牆的MPLS封包進行安全政策控制;關閉MPLS穿透功能時,防火牆将直接轉發MPLS封包。當防火牆工作在路由模式,直接丢棄封包。
路由模式:
在這種模式下,防火牆類似于一台路由器轉發資料包,将接受到資料包的源MAC位址替換為相應接口的MAC位址,然後轉發。該模式适用于每個區域都不在同一個網段的情況。和路由器一樣,防火牆的每個接口均要根據區域規劃配置IP位址。同時,防火牆可以在設定了IP的VLAN之間路由轉發。
混合模式:
這個模式就是路由模式和交換模式的結合。
在很多使用者網絡中,網絡基礎設施的建設是先于網絡安全建設進行的,當使用者打算進行網絡安全建設時,往往會發現由于初期的網絡設計不周全而導緻名關建應用是依賴于網絡拓撲的。是以在對這些關鍵應用進行安全防護時,安全裝置必須采用交換模式,特别是透明模式接入,而對另外些應用 可能就要采用路由模式接入,這樣在同一個網關裝置上就需要透明模式和路由模式共存。
透明模式支援把同一網段的網絡區域劃分為不同的防火區,主要适用于基于業務的IP配置設定方案,可以将同-應用 業務的伺服器和客戶機通過同 網段連接配接起來,以提高整體網絡的通信性能,路由模式支援将路由資訊轉發到其他防火區,減少防火牆應用帶來的網絡管理的工作量。網絡衛土防火牆路由模式提供完整的靜态路由功能,對于中小規模的内部網絡完全可以代替内網路由器。如果這兩種工作模式不能混合在一起同時 工作,使用者網絡将會出現由于被割裂而無法實施安全裝置接入的困局。同時,防火牆支援NAT工作模式。防火牆甚至可以提供路由+透明+NAT混合模式,可以保證不會因為引入安全需求而破壞使用者現有網絡的完整性,防火牆可以友好地支援網絡擴充,友善防火牆接入各種複雜的網絡環境,以滿足使用者網絡多樣化的部署需求。
鍊路捆綁模式:
鍊路捆綁是指将多個實體端口捆綁在一起, 成為個邏輯端口, 以實作出/入流量在各成員端口中的負荷分擔。邏輯鍊路的帶寬增加了大約n-1倍(n為聚合的路數)。聚合後,可靠性大大提高,因為n條鍊路中隻要有一條可以正常工作,則這個鍊路就可以工作。鍊路聚合還可以實作負載均衡。防火牆可以根據使用者配置的端口負荷分擔政策決定封包從哪一” 個成員端口發送到對端的交換機。當防火牆檢測到其中? -個成員端口的鍊路發生故障時,就停止在此端口發送封包,并根據負尚分擔政策在利下鍊路中重新計算封包發送的端口,故障端口恢複後再次重新計算封包發送端口。聚合鍊路可以通過預先設定的負載均衡算法将流量配置設定給聚合鍊路内不同的實體接口,實作鍊路級的負載均衡功能,也可防止單條班路轉發速率過低而出現丢包的現象。防火牆上參與聚合的實體接口具備相同的屬性,如相同的速度、單雙工模式等。
使用鍊路捆綁Access模式對網絡在增加鍊路帶寬、實作鍊路傳輸彈性和備援等方面是很有效的。