工业防火墙工作模式都有哪些？

为了提高防火墙网络的灵活性，设备不再定义整个设备的操作模式，而是定义接口的操作模式：

路由模式：假设设备接口的IP地址通过三个级别连接到外部，则接口以路由模式运行。

透明模式：假设设备接口没有IP地址，并且通过第二层进行外部连接，则它以透明模式运行。

如果设备有一个在路由模式下工作的接口（该接口有一个IP地址）和一个在透明模式下工作（该接口没有IP地址），则假设该设备在混合模式下工作。

1、路由模式

如果设备位于内部网络和外部网络之间，则为设备与内部网络和内部网络之间的接口配置不同网段的IP地址，并重新部署原始网络拓扑。

计划设立两个安全区：信任区和信任区。设备的信任接口连接到公司的内部网络，而信任接口则连接到外部网络。信任接口和信任接口位于两个子网中。

在三层接口之间传递消息时，会根据消息的IP地址搜索路由表。设备显示为路由器。然而，与路由器不同，设备通过的IP分组是通过检查会话表或ACL规则来确定的，以确定是否允许分组通过，从而执行过滤和其他相关处理。此外，防火墙还必须防止其他攻击。

在路由模式下，您可以执行访问控制列表（ACL）数据包过滤和ASPF动态过滤等功能。但是，在路由模式下，内部网络用户的网关会发生变化。您需要更改网络拓扑，例如更改路由器的路由配置。在进行网络修改之前，请考虑利弊。

2、透明模式

如果设备以透明模式运行，则可以防止拓扑更改，因为设备对子网用户完全透明，并且用户无法识别设备的存在。

设备透明模式的典型网络方法如图所示。设备的区域信任接口连接到公司的内部网络，区域信任接口则连接到外部网络。信任域接口和信任域接口必须位于同一子网中。

如果使用透明模式，设备可以像网桥一样连接到网络，而无需更改现有配置。IP数据包还需要经过相关的过滤检查，内部网络用户仍然受到防火墙的保护。

安全区域A和B位于同一网段上，具有数据交换功能。连接安全区域A和B的接口使用VLAN A和B。VLAN B已连接，并且必须连接到由VLAN A和VLAN B组成的桥接组。如果防火墙在两个透明模式接口之间传递消息，则必须连接到另一个桥接组。VLAN网桥必须运行，才能将接收到的消息转换为发送VLAN，然后根据消息的MAC地址搜索MAC表以找到发送接口。该设备显示为透明桥接。然而，与网桥不同的是，设备发送的IP数据包被发送到顶层进行过滤和其他相关处理。强制性的检查会话表或ACL规则以确定是否允许数据包通过。防火墙还必须防止其他攻击。

在透明模式下，为了进行数据交换，必须向不同的VLAN添加两个接口。同时，两个接口必须属于同一个VLAN桥接组，并且只能属于一个桥接组。

该设备通过学习透明模式接口的MAC地址并查看MAC表来执行第2层转发，从而在透明模式接口之间传递组。

3、混合模式

如果设备有一个在路由模式下工作的接口（该接口有一个IP地址）和一个在透明模式下工作（该接口没有IP地址），则假设该设备在混合模式下工作。

网络A和B是不同的网段，连接网络A和网络B的设备之间的接口是三层接口。必须对A和B之间的消息进行路由和转发。网络C和D是相同的网段，并且连接网络C和D的设备之间的接口是第二层接口。界面C和D之间的数据包需要VLAN桥接和第2层传输。