防火墙技术原理60522.ppt

山东天融信网络安全公司 电话 0531 88111395 396 300热线 800 810 5119 防火墙技术原理与维护操作 TCSP培训讲稿 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 Internet 一种高级访问控制设备 置于不同网络安全域之间的一系列部件的组合 它是不同网络安全域间通信流的唯一通道 能根据企业有关的安全政策控制 允许 拒绝 监视 记录 进出网络的访问行为 两个安全域之间通信流的唯一通道 根据访问控制规则决定进出网络的行为 防火墙定义 内部网 防火墙外观 桌面型防火墙 普通百兆防火墙 防火墙 VPN 高端百兆防火墙 高端千兆防火墙 天融信防火墙产品系列线 通过在安全边界部署防火墙 可以实比VLAN 路由器更为强大 有效的访问控制功能 大大提高抗攻击的能力 实现边界防护 高端电信级千兆防火墙 防火墙执行标准 GB T18019 1999信息技术包过滤防火墙安全技术要求GB T18020 1999信息技术应用级防火墙安全技术要求GB T18336 2001信息技术安全性评估准则GB T17900 1999网络代理服务器的安全技术要求GB T18018 1999路由器安全技术要求 这些标准从安全环境 安全目标 安全要求 基本原理等方面对防火墙的各种指标进行了规定 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 软件防火墙 硬件防火墙 按形态分类 按保护对象分类 各种类型的防火墙 保护整个网络 保护单台主机 网络防火墙 单机防火墙 Internet 单机防火墙 网络防火墙 保护单台主机安全策略分散安全功能简单普通用户维护安全隐患较大策略设置灵活 保护整个网络安全策略集中安全功能复杂多样专业管理员维护安全隐患小策略设置复杂 单机防火墙 网络防火墙 Internet 硬件防火墙 软件防火墙 Internet 硬件防火墙 软件防火墙 仅获得Firewall软件 需要准备额外的OS平台安全性依赖低层的OS网络适应性弱 主要以路由模式工作 稳定性高软件分发 升级比较方便 硬件 软件 不用准备额外的OS平台安全性完全取决于专用的OS网络适应性强 支持多种接入模式 稳定性较高升级 更新不太灵活 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 防火墙的发展历史 纯软件防火墙 软硬结合防火墙 ASIC硬件防火墙 基于PC机 运行在通用操作系统 UNIX WINDOWS等 之上通用操作系统不是为网络安全定制的 不可避免的存在许多漏洞和BUG防火墙没有专用的资源 与其他任务进程一起共享CPU RAM PCI总线等资源性能一般 安全性也一般 不再使用通用的操作系统采用专用或者自主研发 优化 的操作系统 由于这些系统是为网络安全定制的 因而从根本上解决了软件防火墙存在的安全隐患该类防火墙仍然属于X86结构 但在性能和安全性上比软件防火墙有了很大的提高优良的性价比 在市场上占据了主导地位 采用ASIC芯片和多总线 并行处理方式 使原先需要上万条指令才能完成的工作在瞬间由数个循环就能完成多总线结构保证在端口上有数据传输时 防火墙内部仍能进行高效数据处理 不再受 中断 的限制采用专用操作系统 具有很高的安全性彻底摆脱X86架构的影响性能和安全性有很大的突破 尤其是性能指标 防火墙技术的发展历程 天融信防火墙的发展历程 天融信防火墙硬件平台的发展 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙管理防火墙可靠性防火墙典型应用 防火墙技术 简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙包过滤与应用代理复合型防火墙5 核检测防火墙 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 网络层 链路层 物理层 优点 速度快 性能高对应用程序透明 缺点 安全性低不能根据状态信息进行控制不能处理网络层以上的信息伸缩性差维护不直观 简单包过滤技术介绍 应用层 TCP层 IP层 网络接口层 IP 101010101 TCP ETH 101010101 应用层 TCP层 IP层 网络接口层 101010101 只检查报头 101001001001010010000011100111101111011 001001001010010000011100111101111011 简单包过滤防火墙的工作原理 简单包过滤防火墙不检查数据区简单包过滤防火墙不建立连接状态表前后报文无关应用层控制很弱 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 状态检测技术介绍 应用层 表示层 会话层 传输层 网络层 链路层 物理层 安全性高能够检测所有进入防火墙网关的数据包根据通信和应用程序状态确定是否允许包的通行性能高在数据包进入防火墙时就进行识别和判断伸缩性好可以识别不同的数据包支持多种应用 包括Internet应用 数据库应用 多媒体应用等用户可方便添加新应用 抽取各层的状态信息建立动态状态表 应用层 TCP层 IP层 网络接口层 IP 101010101 TCP ETH 101010101 应用层 TCP层 IP层 网络接口层 101010101 只检查报头 101001001001010010000011100111101111011 001001001010010000011100111101111011 状态检测包过滤防火墙的工作原理 不检查数据区建立连接状态表前后报文相关应用层控制很弱 建立连接状态表 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用层 表示层 会话层 传输层 网络层 链路层 物理层 应用代理技术介绍 应用层 表示层 会话层 传输层 网络层 链路层 物理层 优点 安全性高提供应用层的安全 缺点 性能差伸缩性差只支持有限的应用不透明 FTP HTTP SMTP 应用层 TCP层 IP层 网络接口层 IP 101010101 TCP ETH 101010101 应用层 TCP层 IP层 网络接口层 101010101 只检查数据 101001001001010010000011100111101111011 001001001010010000011100111101111011 应用代理防火墙的工作原理 不检查IP报头不建立连接状态表网络层保护比较弱 应用层 TCP层 IP层 网络接口层 IP 101010101 TCP ETH 101010101 应用层 TCP层 IP层 网络接口层 101010101 检查整个报文内容 101001001001010010000011100111101111011 001001001010010000011100111101111011 复合型防火墙的工作原理 可以检查整个数据包内容根据需要建立连接状态表网络层保护强应用层控制细会话控制较弱 建立连接状态表 应用层 TCP层 IP层 网络接口层 IP 开始攻击 TCP ETH 开始攻击主服务器硬盘数据 应用层 TCP层 IP层 网络接口层 开始攻击主服务器硬盘数据 检查多个报文组成的会话 101001001001010010000011100111101111011 001001001010010000011100111101111011 核检测防火墙的工作原理 建立连接状态表 开始攻击 重写会话 主服务器 硬盘数据 报文1 报文2 报文3 网络层保护强应用层保护强会话保护很强上下文相关前后报文有联系 防火墙核心技术比较 单个包报头 单个包报头 单个包数据 单个包全部 一次会话 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙管理防火墙可靠性防火墙典型应用 百兆防火墙外观构造 防火墙模块封装板 根据需要可以通过扩充模块 增加端口的数量根据需要可以选择处理能力更好的机箱与引擎 防火墙机箱与引擎 防火墙接口模块 千兆电信级防火墙外观构造 GBIC卡插槽 10 100 1000M以太口 AUX接口 热拔插冗余电源 大功率散热风扇 防火墙引擎 防火墙内部软件 内核技术 经过专门加固 精简 安全化的操作系统模块化结构设计 可扩展性好 方便用户定制与升级系统大小 约5M代码 可以驻留在稳定的Flash盘上配置文件存取在NVRAM里 可以保证配置文件的安全性 防火墙内部硬件 主板 专用系统板Talent NS嵌入式模块设计处理器 高速处理器内存 大容量内存存储设备 电子盘 NVRAM网络接口 10 100 1000M自适应以太网接口 FDDI 支持双电源支持双机热备 负载均衡对于千兆防火墙采用服务器级的硬件 使用多个处理器 硬件 ASIC NPU MIPS X86 ARM TopsecOS架构 IPS SSLVPN 监控 报警 管理 QOS HA 接入 OS层 基础层 安全引擎层 Antispam IPSEC 服务层 健壮中心 文件系统 交换 FW 硬件抽象层 OS核 认证 路由 日志 配置 GTA AV 硬件 TOS 应用 防火墙内部系统设计 路由模块 透明模块 规则检查 还原模块 FTP还原 HTTP还原 SMTP还原 POP3还原 日志守护进程 病毒守护进程 应用层日志 病毒 应用层过滤 Kernel Application 00101010101010 11110010101001 11101010101011 连接表 在操作系统内核完成应用协议的还原 极大的提高了系统的整体性能 基于内核的会话检测技术 Clint 192 168 6 169 192 168 6 170 010101001010000111110000010010101001010010010110010010 协议还原模块协议还原模块 输入队列 输入队列 底层驱动 010101001010000111110000010010101001010010010110010010 符合安全策略 符合安全策略 防火墙逻辑图 010100101001010010 010100101001010010 010100101001010010 010100101001010010 010100 010101 发起请求 响应请求 虚拟客户端 虚拟服务器端 在操作系统内核模拟出典型的应用层协议 在内核实现对应用层协议的过滤 从而得到极高的性能 101001010111000010101000011 101001010111000010101000011 110100000001100000001111 1001001000100100001001111 10001101001001001001001 010 010 进行规则匹配 应用层过滤频繁在系统核心和应用层之间切换消耗掉大量的系统资源生成大量的进程影响防火墙的性能 应用层 系统核心 101001010111000010101000011 101001010111000010101000011 1001000100100001001111 10001101001001001001001 010 010 直接在系统核心进行应用层过滤不需要频繁在系统核心和应用层之间切换在大量并发情况下不会生成大量进程 有效的保护系统资源大大提高会话检测的效率 应用层 系统核心 基于内核的会话检测技术 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 HostC HostD 基本的访问控制技术 Accesslistpass192 168 1 3to202 2 33 2Accessnat192 168 3 0toanyAccessblock202 1 2 3to192 168 1 3Accessdefaultpass 1010010101 规则匹配成功 基于源IP地址基于目的IP地址基于MAC地址基于源端口基于目的端口基于时间基于用户名基于文件基于网址基于关键字基于邮件地址 WWW1 WWW2 WWW3 服务器负载均衡 负载均衡算法 基于轮询基于加权轮询最少链接加权最少链接对真实主机的自动探测 根据负载均衡算法将数据重定位到一台WWW服务器 服务器阵列 响应请求 日志审计 不做日志做通信日志 即传统日志通信源地址 目的地址 源目端口 通信时间 通信协议 字节数 是否允许通过做应用层命令日志 在通信日志的基础之上 记录下各个应用层命令及其参数 例如HTTP请求及其要取的网页名 做访问日志 即在通信日志的基础之上 记录下用户对网络资源的访问 它和应用层命令日志的区别是 应用层命令日志可以记录下大量的数据 有些用户可能不需要 如协商通信参数过程等 例如针对FTP协议 访问日志只记录下读 写文件的动作提供日志分析工具自动产生各种报表 智能化的指出网络可能的安全漏洞 Clint 响应请求 发送请求 通信日志 通信日志 通信信息 192 168 6 169 192 168 6 170 做通信日志 Clint 响应请求 发送请求 命令日志 命令日志 192 168 6 169 192 168 6 170 做应用层命令日志 命令信息 Clint 响应请求 发送请求 访问日志 访问日志 192 168 6 169 192 168 6 170 做访问日志 访问信息 与URL服务器的安全联动 内部网络 Internet URL服务器 可以访问吗 Ok 通过T SCP安全产品协作平台实现防火墙与URL服务器的互动 从而控制对外部WEB站点的访问 与病毒服务器安全联动 Internet 110010101 病毒服务器 100010101 000010101 待发数据 110010101 100010101 000010101 110010101 100010101 000010101 pass pass 无病毒转发最后一个报文 如带有病毒则丢弃最后一个报文 协议还原检查病毒 没有发现病毒可以放过最后一个报文 接收数据 接收数据 HostC HostD HostB HostA 受保护网络 net IDS 黑客 发起攻击 发送通知报文 验证报文并采取措施 发送响应报文 识别出攻击行为 阻断连接或者报警等 与IDS的安全联动 支持第三方认证服务器 Internet RADIUS服务器 OTP认证服务器 Zhanglongyong 12354876 防火墙将认证信息传给真正的RADIUS服务器 进行认证 将认证结果传给防火墙 支持内置VRC OTP认证服务器支持第三方RADIUS认证服务器支持TACACS及TACAVS 认证服务器支持S KEY SECUID VIECA LDAP等认证 根据认证结果决定用户对资源的访问权限 策略路由功能 中国教育网 Internet 202 10 1 2 64 10 6 5 200 34 22 2 200 34 22 1 192 168 1 1 HostA 192 168 1 2 HostB 192 168 1 3 HostC 192 168 1 4 200 34 22 3 内网 根据源 目地址来进行路由 主机B直接连接Internet 主机A通过教育网上Internet Internet HostB 199 168 1 3 HostC 199 168 1 4 HostD 199 168 1 5 00 50 04 BB 71 A6 00 50 04 BB 71 BC BIND199 168 1 2To00 50 04 BB 71 A6 BIND199 168 1 4To00 50 04 BB 71 BC IP与MAC地址绑定后 不允许HostB假冒HostA的IP地址上网 防火墙允许HostA上网 跨路由器 功能 IP与MAC 用户 的绑定 对MAC地址得控制 net DHCP服务器 HostA HostB HostC HostD HostE HostF 没有固定IP地址 只允许HostB上网 设定HostB的MAC地址 设定HostB的IP地址为空 根据HostB的MAC地址进行访问控制 对DHCP应用环境的支持 net 源地址 192 168 1 21目地址 202 102 93 54 源地址 101 211 23 1目地址 202 102 93 54 101 211 23 2 隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功能NAT改变的是源地址 天融信公司的防火墙支持静态和动态两种转换模式 支持一对一 多对一 多对多以及双向NAT功能 功能 NAT 地址转换 Internet 公开服务器可以使用私有地址隐藏内部网络的结构MAP改变的是目的地址 天融信公司防火墙支持I地址映射以及端口映射 199 168 1 6 202 102 1 3 MAP199 168 1 2 80TO202 102 1 3 80 MAP199 168 1 3 21TO202 102 1 3 21 MAP199 168 1 4 53TO202 102 1 3 53 MAP199 168 1 5 25TO202 102 1 3 25 http 199 168 1 2 http 202 102 1 3 功能 MAP 端口 IP映射 Trunk口 Trunk口 VLAN1 VLAN2 支持VLAN的交换机 Trunk口 Trunk口 VLAN1 VLAN2 Switch1 Switch2 同一交换机的不同VLAN之间通讯 不同交换机的同一VLAN之间通讯 不支持TRUNK的防火墙无法在这种环境下工作 不支持TRUNK的防火墙无法在这种环境下工作 防火墙对TRUNK协议的支持 防火墙对TRUNK协议的支持 防火墙不但支持TRUNK数据包穿过防火墙 并且防火墙的接口也可以封装TRUNK数据包 即支持VLAN间路由 3层交换机功能 Vlan20 Vlan30 Vlan10 TRUNK链路 建立连接并维持连接状态直到查询结束 对长连接应用的支持 数据库查询一般需要比较长的时间 这些通讯连接建立成功后可能暂时没有数据通过 空连接 需要在防火墙里面维护这个连接状态 直到查询结束 普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接 导致业务不能正常运行 需要较长的查询时间 抗DOS DDOS攻击 SYN代理 防火墙的SYN代理实现原理 在服务器和外部网络之间部署防火墙系统 防火墙在收到客户端的Syn包后 防火墙代替服务器向客户端发送Syn Ack包 如果防火墙收到客户端的Ack信息 表明访问正常 由防火墙向服务器发送Syn包并完成后续的TCP握手 建立客户端到服务器的连接 通过这种Syn代理技术 保证每个Syn包源的真实有效性 确保虚假请求不被发往服务器 从而彻底防范对服务器的Syn Flood攻击 240万并发连接数 SYN SYN ACK ACK SYN SYN ACK ACK SYN SYN ACK ACK Client Server HostC HostD HostB HostA 受保护网络 SNMP报文 获取硬件配置信息资源使用状况信息防火墙的流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息 SNMP服务器端 SNMP客户端 SNMP管理 人性化的管理 防火墙的接口状态查看 人性化的管理 防火墙的性能查看 人性化的管理 防火墙实时流量查看 通过对连接信息的查看 用户可以了解当前通过 未通过 已建立或已断开连接的源地址 目的地址 发送流量 接收流量等信息 及时了解网络应用情况 另外利用此功能还可以及时的排除故障 防火墙双机热备 内部网 外网或者不信任域 Eth0 Eth0 Eth1 Eth1 Eth2 Eth2 心跳线 ActiveFirewall StandbyFirewall 检测ActiveFirewall的状态 发现出故障 立即接管其工作 正常情况下由主防火墙工作 主防火墙出故障以后 接管它的工作 HuborSwitch HuborSwitch 通过STP协议可以交换两台防火墙的状态信息 当一台防火墙故障时 这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上 用户不会察觉到 建立连接并维持连接状态直到查询结束 对长连接应用的支持 数据库查询一般需要比较长的时间 这些通讯连接建立成功后可能暂时没有数据通过 空连接 需要在防火墙里面维护这个连接状态 直到查询结束 普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接 导致业务不能正常运行 需要较长的查询时间 Trunk口 Trunk口 VLAN1 VLAN2 支持VLAN的交换机 Trunk口 Trunk口 VLAN1 VLAN2 Switch1 Switch2 同一交换机的不同VLAN之间通讯 不同交换机的同一VLAN之间通讯 不支持TRUNK的防火墙无法在这种环境下工作 不支持TRUNK的防火墙无法在这种环境下工作 防火墙对TRUNK协议的支持 防火墙不禁支持TRUNK数据包穿过防火墙 并且防火墙的接口也可以封装TRUNK数据包 防火墙对TRUNK协议的支持 防火墙不禁支持TRUNK数据包穿过防火墙 并且防火墙的接口也可以封装TRUNK数据包 即支持VLAN间路由 Vlan20 Vlan30 Vlan10 TRUNK链路 高可用性的支持 二层环境 三层环境 抗DOS DDOS攻击 SYN代理 防火墙的SYN代理实现原理 在服务器和外部网络之间部署防火墙系统 防火墙在收到客户端的Syn包后 防火墙代替服务器向客户端发送Syn Ack包 如果防火墙收到客户端的Ack信息 表明访问正常 由防火墙向服务器发送Syn包并完成后续的TCP握手 建立客户端到服务器的连接 通过这种Syn代理技术 保证每个Syn包源的真实有效性 确保虚假请求不被发往服务器 从而彻底防范对服务器的Syn Flood攻击 160万并发连接数 SYN SYN ACK ACK SYN SYN ACK ACK SYN SYN ACK ACK Client Server 支持众多网络通信协议和应用协议 如DHCP VLAN PPPOE ISL 802 1Q Spanningtree IPSEC H 323 RTSP MMS IGMP GRE ORACLE SQLNET等 保证用户的网络应用 方便用户扩展IP宽带接入及IP电话 视频会议 VOD点播等多媒体应用 支持核心网络中生成树 STP 的计算 通过生成树计算 防火墙能够同核心交换机一起进行生成树计算 实现了核心网络的全连接拓扑结构 能够进行链路的自动切换 保证了整个网络的稳定 支持交换机主干链路 防火墙的物理接口实现了D0t1q封装格式 能够同交换机的Trunk接口对接 实现了VLAN间路由的功能 保证了防火墙对于各种网络环境的易接入性 支持动态路由协议 不但可以让动态路由协议穿过防火墙设备 并且防火墙的接口也可以参与动态路由协议的运算 目前支持OSFP RIP2 支持多种网络应用 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 常见防火墙性能指标 吞吐量延时丢包率背靠背最大并发连接数最大并发连接建立速率 吞吐量 定义 在不丢包的情况下能够达到的最大速率衡量标准 吞吐量作为衡量防火墙性能的重要指标之一 吞吐量小就会造成网络新的瓶颈 以至影响到整个网络的性能 Smartbits6000B测试仪 101100101000011111001010010001001000 以最大速率发包 直到出现丢包时的最大值 防火墙吞吐量小就会成为网络的瓶颈 100M 60M 数据包首先排队待防火墙检查后转发 延时 定义 入口处输入帧最后1个比特到达至出口处输出帧的第一个比特输出所用的时间间隔衡量标准 防火墙的时延能够体现它处理数据的速度 10101001001001001010 Smartbits6000B测试仪 101100101000011111001010010001001000 最后1个比特到达 第一个比特输出 时间间隔 1010100111001110 1010100111001110 1010010010100100010100010 101010100100100100100100010 造成数据包延迟到达目标地 丢包率 定义 在连续负载的情况下 防火墙设备由于资源不足应转发但却未转发的帧百分比衡量标准 防火墙的丢包率对其稳定性 可靠性有很大的影响 发送了1000个包 防火墙由于资源不足只转发了800个包 丢包率 1000 800 1000 20 10010101001010010001001001 10010101001010010001001001 背靠背 定义 从空闲状态开始 以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧 当出现第一个帧丢失时 发送的帧数 衡量标准 背对背包的测试结果能体现出被测防火墙的缓冲容量 网络上经常有一些应用会产生大量的突发数据包 例如 NFS 备份 路由更新等 而且这样的数据包的丢失可能会产生更多的数据包 强大缓冲能力可以减小这种突发对网络造成的影响 时间 t 包数量 n 少量包 包增多 峰值 包减少 没有数据 背靠背指标体现防火墙对突发数据的处理能力 并发连接数 定义 指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数 衡量标准 并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能 同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力 并发连接数指标可以用来衡量穿越防火墙的主机之间能同时建立的最大连接数 最大并发连接数建立速率 定义 指穿越防火墙的主机之间或主机与防火墙之间单位时间内建立的最大连接数 衡量标准 最大并发连接数建立速率主要用来衡量防火墙单位时间内建立和维持TCP连接的能力 单位时间内增加的并发连接数 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构防火墙构造体系防火墙功能防火墙性能防火墙部署防火墙可靠性防火墙典型应用 受保护网络 Internet 如果防火墙支持透明模式 则内部网络主机的配置不用调整 199 168 1 8 同一网段 透明模式下 这里不用配置IP地址 透明模式下 这里不用配置IP地址 DefaultGateway 199 168 1 8 防火墙相当于网桥 原网络结构没有改变 NO 1透明接入 受保护网络 Internet 199 168 1 8 DefaultGateway 199 168 1 8 防火墙相当于一个简单的路由器 203 12 34 56 203 12 34 57 提供简单的路由功能 199 168 1 8 NO 2路由接入 NO 3综合接入 ETH1 192 168 7 102 ETH2 192 168 7 2 192 168 7 100 24网段 192 168 7 0 24网段 此时整个防火墙工作于透明 路由模式 我们称之为综合模式或者混合模式 202 11 22 1 24网段 ETH1 202 11 22 2 两接口在不同网段 防火墙处于路由模式 两接口在不同网段 防火墙处于路由模式 两接口在同一网段 防火墙处于透明模式 Firewall 防火墙基本概念防火墙分类防火墙发展趋势防火墙核心技术防火墙设计结构