一、防火墻部署方式有哪些

防火墻是為加強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力在網(wǎng)絡(luò)中部署的硬件設(shè)備,，有多種部署方式,，常見的有橋模式、網(wǎng)關(guān)模式和NAT模式等,。

1,、橋模式

橋模式也可叫作透明模式。最簡單的網(wǎng)絡(luò)由客戶端和服務(wù)器組成,，客戶端和服務(wù)器處于同一網(wǎng)段,。為了安全方面的考慮，在客戶端和服務(wù)器之間增加了防火墻設(shè)備,，對經(jīng)過的流量進(jìn)行安全控制,。正常的客戶端請求通過防火墻送達(dá)服務(wù)器，服務(wù)器將響應(yīng)返回給客戶端,，用戶不會感覺到中間設(shè)備的存在,。工作在橋模式下的防火墻沒有IP地址，當(dāng)對網(wǎng)絡(luò)進(jìn)行擴(kuò)容時無需對網(wǎng)絡(luò)地址進(jìn)行重新規(guī)劃,，但犧牲了路由,、VPN等功能。

2,、網(wǎng)關(guān)模式

網(wǎng)關(guān)模式適用于內(nèi)外網(wǎng)不在同一網(wǎng)段的情況,，防火墻設(shè)置網(wǎng)關(guān)地址實現(xiàn)路由器的功能，為不同網(wǎng)段進(jìn)行路由轉(zhuǎn)發(fā),。網(wǎng)關(guān)模式相比橋模式具備更高的安全性,，在進(jìn)行訪問控制的同時實現(xiàn)了安全隔離，具備了一定的私密性,。

3,、NAT模式

NAT（Network Address Translation）地址翻譯技術(shù)由防火墻對內(nèi)部網(wǎng)絡(luò)的IP地址進(jìn)行地址翻譯，使用防火墻的IP地址替換內(nèi)部網(wǎng)絡(luò)的源地址向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù),；當(dāng)外部網(wǎng)絡(luò)的響應(yīng)數(shù)據(jù)流量返回到防火墻后,，防火墻再將目的地址替換為內(nèi)部網(wǎng)絡(luò)的源地址,。NAT模式能夠?qū)崿F(xiàn)外部網(wǎng)絡(luò)不能直接看到內(nèi)部網(wǎng)絡(luò)的IP地址，進(jìn)一步增強(qiáng)了對內(nèi)部網(wǎng)絡(luò)的安全防護(hù),。同時,，在NAT模式的網(wǎng)絡(luò)中，內(nèi)部網(wǎng)絡(luò)可以使用私網(wǎng)地址,，可以解決IP地址數(shù)量受限的問題,。

二、防火墻的三種工作模式介紹

1,、路由模式：防火墻以第三層對外連接（接口具有IP地址）,，此時可以完成ACL包過濾，ASPF動態(tài)過濾,、NAT轉(zhuǎn)換等功能,。

注：路由模式需要對網(wǎng)絡(luò)拓?fù)溥M(jìn)行修改。

2,、透明模式：防火墻以第二層對外連接（接口沒有IP地址）,，此時相當(dāng)于交換機(jī)，部分防火墻不支持STP,。

3,、混合模式：混合上面兩種。