说白了 透明模式就是当交换机使,路由模式就是当路由使,混杂就是杂交物种,即当作路由使,又当作交换机使。
- 透明模式
透明模式一般用于网络建设完,网络功能基本已经实现的情况下,用户需要加装防火墙以实现安全区域隔离的要求;早期也称之为桥模式。桥这个字是缘由于,交换机之前称之为网桥。
透明模式,意思就是字面意思,就是说,加装了这个防火墙,并不会影响原有网络的布局,之前的的该在同一网段的还在同一网段,不该在同一网段的,还是不会在同一个网段。
所以这个防火墙,只可能工作在二层,路由器和交换机之间,等于说又加了一台交换机,或者直接代替交换机,成为二层设备。
如图,DMZ区域和内网区,处于同一网段,192.168.0.0;
说到这儿,我们还是回到防火墙本质的存在的意义,就是隔离区域隔离网络,它本质不是交换机或者路由器,或者配NAT等等等,本质就是隔离网络,隔离区域,所以放在二层,不会影响网段。
- 路由模式
路由模式就是防火墙当作路由使,那么这时候,防火墙就是三层设备;
如图:内网、DMZ、和外网都处于不同网段;
- 混杂模式
混杂模式,如图,dmz和外网属于同一个网段,内部处于一个网段,这时候,防火墙一部分充当路由,一部分充当交换机。
总结:
(1)透明网桥模式:若用户不想改变原有的网络拓扑结构和设置,可以将防火墙设置成桥模式。在桥模式下,防火墙的各个网口所连接的网络相互之间的访问是透明的,所有网口设备将构成一个网桥。
(2)路由模式:是防火墙的基本工作模式。在该模式下,防火墙的各个网口设备的IP地址都位于不同的网段。
(3)混杂模式:指防火墙部分网口在路由模式下工作,部分网口在透明桥模式下工作,即某些子网之间以路由方式通信,而某些子网可以透明通信。
DMZ区是放置公共信息的最佳位置,它对外网或内网用户来说是开放的、透明的。公司客户、潜在客户及外部访问者不用通过内网就可以直接获得他们所需要的信息。公司中机密的、私人的信息则需安全地存放在内部局域网中,即DMZ的后面。DMZ中服务器不应包含任何商业机密、资源代码或私人信息。