So stellen Sie eine Firewall bereit
Oct 20, 2019
1.Bridge-Modus
Der Bridge-Modus kann auch als transparenter Modus bezeichnet werden. Das einfachste Netzwerk besteht aus einem Client und einem Server, und Client und Server befinden sich im selben Netzwerksegment. Aus Sicherheitsgründen wird zwischen dem Client und dem Server ein Firewall-Gerät hinzugefügt, um den durch ihn fließenden Datenverkehr zu kontrollieren. Eine normale Client-Anfrage wird über die Firewall an den Server gesendet und der Server gibt die Antwort an den Client zurück. Der Benutzer wird die Existenz des Zwischengeräts nicht spüren. Die im Bridge-Modus arbeitende Firewall verfügt über keine IP-Adresse. Wenn das Netzwerk erweitert wird, ist es nicht notwendig, die Netzwerkadresse neu zu planen, aber es gehen Routing- und VPN-Funktionen verloren.
2.Gateway-Modus
Der Gateway-Modus ist anwendbar, wenn sich das interne und das externe Netzwerk nicht im selben Netzwerksegment befinden. Die Firewall legt die Gateway-Adresse fest, um die Funktion des Routers zu implementieren und Routing und Weiterleitung für verschiedene Netzwerksegmente durchzuführen. Der Gateway-Modus bietet eine höhere Sicherheit als der Bridge-Modus. Es implementiert eine Sicherheitsisolation während der Zugriffskontrolle und bietet ein gewisses Maß an Privatsphäre.
3.NAT-Modus
Die NAT-Adressübersetzungstechnologie (Network Address Translation) verwendet die Firewall, um die IP-Adresse des internen Netzwerks zu übersetzen, und verwendet die IP-Adresse der Firewall, um die Quelladresse des internen Netzwerks zu ersetzen und Daten an das externe Netzwerk zu senden. wenn der Antwortdatenverkehr vom externen Netzwerk zur Firewall zurückkehrt. Die Firewall ersetzt dann die Zieladresse durch die Quelladresse des internen Netzwerks. Der NAT-Modus kann erkennen, dass das externe Netzwerk die IP-Adresse des internen Netzwerks nicht direkt sehen kann, was den Sicherheitsschutz des internen Netzwerks weiter erhöht. Gleichzeitig kann das interne Netzwerk im NAT-Modus-Netzwerk private Netzwerkadressen verwenden, wodurch das Problem der begrenzten Anzahl von IP-Adressen gelöst werden kann.
Wenn das externe Netzwerk auf der Grundlage des NAT-Modus auf interne Netzwerkdienste zugreifen muss, können Sie auch die MAP-Technologie (Address/Port Mapping) verwenden, um die Adress-/Portzuordnung auf der Firewall zu konfigurieren. Wenn externe Netzwerkbenutzer auf interne Dienste zugreifen müssen, ordnet die Firewall die Anforderung dem internen Server zu. Wenn der interne Server die entsprechenden Daten zurückgibt, leitet die Firewall die Daten an das externe Netzwerk weiter. Durch die Verwendung der Adress-/Port-Mapping-Technologie können externe Benutzer auf interne Dienste zugreifen. Externe Benutzer können jedoch nicht die tatsächliche Adresse des internen Servers sehen, sondern nur die Adresse der Firewall, was die Sicherheit des internen Servers erhöht.
4.Hochzuverlässiges Design
Firewalls werden am Ein- und Ausgang des Netzwerks eingesetzt und bilden die Tür zur Netzwerkkommunikation. Dies erfordert, dass der Einsatz der Firewall eine hohe Zuverlässigkeit aufweisen muss. Die Lebensdauer allgemeiner IT-Geräte ist auf 3 bis 5 Jahre ausgelegt. Wenn ein einzelner Geräteausfall auftritt, muss Redundanztechnologie verwendet werden, um Zuverlässigkeit zu erreichen, und Technologien wie das Virtual Routing Redundancy Protocol (VRRP) können verwendet werden, um Primär- und Backup-Redundanz zu erreichen. Derzeit unterstützen gängige Netzwerkgeräte Designs mit hoher Zuverlässigkeit.