Ⅰ 防火牆使用路由模式好還是透明模式好
兩種模式都可以使用,該用哪種好呢?透明模式
好處:減少工作量,不必重新規劃ip地址;不做nat,數據包直接通過;同時對防火牆本身減壓 防火牆橋模式比路由模式晚出來好幾年,盡管橋技術成熟,但是,可能會存在防火牆對橋的支持以及橋介面自身對防火牆的影響。
1. 啟用橋模式,那麼所有流經橋介面的網路流量就沒有防地址欺騙防護,因為在防火牆看來流量是從一個三層介面進來又出去,不存在地址欺騙;
2. 防火牆現在都是狀態檢測/過濾機制,橋介面可能會影響部分防火牆產品的狀態檢測功能;
3. 二層的橋在網路拓撲連接方式上可能會引入關於二層的因素,諸如ARP轉發、VLAN Trunk、STP等;
一般來說,如果是能用路由模式建議還是用路由模式,畢竟防火牆做的安全過濾從一開始就是做三層以上的工作的。 透明模式: 優:不用重新進行IP劃分
缺:損失一些功能,如路由、VPN等
路由模式: 優:功能相對全面缺:需要對現有網路進行一定調整
Ⅱ 防火牆的路由模式和透明模式
透明模式首要的特點就是對用戶是透明的即用戶意識不到防火牆的存在。要想實現透明模式,防火牆必須在沒有IP地址的情況下工作,不需要對其設置IP地址,用戶也不知道防火牆的IP地址。
透明模式的防火牆就好象是一台網橋(非透明的防火牆好象一台路由器),網路設備(包括主機、路由器、工作站等)和所有計算機的設置(包括IP地址和網關)無須改變,同時解析所有通過它的數據包,既增加了網路的安全性,又降低了用戶管理的復雜程度。
而與透明模式在稱呼上相似的透明代理,和傳統代理一樣,可以比包過濾更深層次地檢查數據信息,比如FTP包的port命令等。同時它也是一個非常快的代理,從物理上分離了連接,這可以提供更復雜的協議需要,例如帶動態埠分配的H.323,或者一個帶有不同命令埠和數據埠的連接。這樣的通信是包過濾所無法完成的
源地址路由支持,透明橋接
地址路由指路由器為數據包選擇路由時不根據IP包的目的地址(通常情況根據目的地址),而根據IP包的源地址選路。源地址路由是策略路由的一種。一般路由器應當支持。透明橋接是指路由器埠以透明網橋的方式工作,執行網橋的功能。不對數據包作路由檢查轉發,只作MAC幀橋接。
Ⅲ H3C SecPath防火牆透明模式下不能網址過濾
透明模式是二層模式三層以上的功能都是不好用的。網址過濾就是三層以上的協議。
你需要將防火牆修改成路由模式就可以了。
Ⅳ h3c防火牆 如何過濾掉某段ip
h3c防火牆過濾網段可以使用acl進行限制
h3c防火牆acl配置方法:
acl number 2000
rule 0 deny(拒絕) ip(ip協議) source(原地址) 192.168.1.0(ip地址段) 0.0.0.255(反子網掩碼)
rule 1 per ip (允許所有)
interface Ethernet0/1
firewall packet-filter2000 inbound (開啟acl )
Ⅳ 防火牆透明模式和路由模式區別
透明模式:對用戶是透明的,即用戶意識不到防火牆的存在。介面無法配置IP地址,唯一IP地址配置在Management 介面,用於設備的管理。用於2層網路的安全隔離。控制同一區域網內部安全訪問。
流量轉發:與交換機類似,介面無IP地址,通過目的MAC地址轉發數據包。
優缺點:不需要重新做IP地址規劃。
2. 路由模式
路由模式:每個介面都配置IP地址。用於3層網路的安全隔離。將網路分成了3個廣播域。
流量轉發:與路由器類似,介面分配不同網段IP,通過目的IP轉發數據包。
優缺點:所有介面都可以使用,但必須重新做IP地址規劃。
Ⅵ juniper 防火牆透明模式下支持vlan的過濾嗎
一、網路環境說明,100M光纖,30M光纖用戶上網使用,70M光纖伺服器使用,因此使用控流交換機。
二、拓撲圖
三、配置控流交換機(h3c 5024E交換機,只要配置1埠流量最大達到30M即可)
四、配置H3C ER5200路由器
1、配置靜態IP地址
2、配置DHCP伺服器
客戶端自動獲取IP即可上網
五、防火牆透明模式設置(jnuiper ssg-320m)
首先理解什麼是防火牆的透明模式,就是相當於把防火牆當成交換機,防火牆將過濾通過的IP數據包,但不會修改IP數據包包頭中的任何信息。
透明模式的優點:
1、 不需要改變已有的網路和配置
2、不需要創建映射或者虛擬的IP
3、透明模式對系統資源消耗最少
配置如下:
Ⅶ cisco防火牆清除IP命令,我防火牆想搞成透明模式,但是要把IP清除掉,inside的和outside的IP,被我附上了
Cisco的沒用過,Juniper的可以把Untrust和Trust口放到Vlan1中,然後permit any就可以了
Ⅷ 防火牆使用路由模式好還是透明模式好
兩種模式都可以使用,該用哪種好呢?透明模式好處:減少工作量,不必重新規劃ip地址
;不做nat,數據包直接通過;同時對防火牆本身減壓
防火牆橋模式比路由模式晚出來好幾年,盡管橋技術成熟,但是,可能會存在防火牆對橋的支持以及橋介面自身對防火牆的影響。1.
啟用橋模式,那麼所有流經橋介面的網路流量就沒有防地址欺騙防護,因為在防火牆看來流量是從一個三層介面進來又出去,不存在地址欺騙;
2. 防火牆現在都是狀態檢測/過濾機制,橋介面可能會影響部分防火牆產品的狀態檢測功能;
3. 二層的橋在網路拓撲連接方式上可能會引入關於二層的因素,諸如ARP轉發、VLAN Trunk、STP等;
一般來說,如果是能用路由模式建議還是用路由模式,畢竟防火牆做的安全過濾從一開始就是做三層以上的工作的。
透明模式: 優:不用重新進行IP劃分
缺:損失一些功能,如路由、VPN等
路由模式: 優:功能相對全面
缺:需要對現有網路進行一定調整
Ⅸ 如何報防火牆設置為透明模式,具體命令是什麼
pixfirewall(config)# firewall transparent --設置防火牆為透明模式
pixfirewall(config)# access-list out-list extended permit icmp any any --設置允許通過所有的協議
pixfirewall(config)# access-list out-list extended permit ip any any --設置允許通過所有的IP
pixfirewall(config)# access-group out-list in interface outside --把剛才的訪問列表綁在outside口
pixfirewall(config)# ip address 192.1.1.1 255.255.255.0 --設置一個以後配置防火牆的IP