下载掌阅APP,畅读海量书库
立即打开
防火墙接入方式多种多样,依据不同的网络环境选择最适合的接入方式。目前主要接入方式有交换模式、路由模式、混合模式、链路捆绑模式、拨号模式等,下面将分别进行介绍。
在交换模式下,防火墙所有接口都为交换接口。对于同一VLAN的数据包在转发时不作任何改动,包括IP和MAC地址,直接把包转发出去。
当网络已经建立并成熟运行,防火墙的接入是为了增强现有网络的防御能力时,一般采用此接入模式。因为在这种模式下接入防火墙,对网络通信造成的影响最少,能够最小限度改动网络节点的网络属性(网络拓扑结构、网络设备地址等)。
在交换模式下通信,防火墙应该能够很好地支持VLAN,交换接口的工作模式可以支持ACCESS和TRUNK。对于包的转发,防火墙将不改变通信数据包的包头信息,避免各个防火区域中应用设备物理地址的刷新。
交换模式拓扑举例如图2-1-1所示。
在交换模式中,防火墙能够对协议进行深层次分析并且能够识别、处理各类封装格式,如802.1Q、QinQ、MPLS等,以便能够在复杂的网络环境下进行更灵活的接入,处理更多的情况。下面介绍防火墙如何处理各类封装格式。
图2-1-1 交换模式接入方式
IEEE802.1Q俗称“Dot One Q”,是经过IEEE认证的对数据帧附加VLAN识别信息的协议。
IEEE802.1Q所附加的VLAN识别信息位于数据帧中“发送源MAC地址”与“类别域(Type Field)”之间。具体内容为2字节的TPID和2字节的TCI,共计4字节。在数据帧中添加了4字节的内容,数据帧上的CRC是插入TPID、TCI后对包括它们在内的整个数据帧重新计算后所得的值。当数据帧从防火墙接口转发出去时,TPID和TCI会被去除,这时还会进行一次CRC的重新计算。TPID的值固定为0x8100。防火墙通过TPID来确定数据帧内附加了基于IEEE802.1Q的VLAN信息。实际的VLAN ID是由TCI中12位的VLAN标识判断。
图2-1-2为数据包标准格式与封装了802.1Q标签的包格式对比。
图2-1-2 数据帧标准格式与封装802.1Q格式
在IEEE802.1Q定义的VLAN Tag域中,只有12位用于表示VLAN ID,所以设备最多可以支持4094个VLAN。但在实际应用中,尤其是在城域网中,需要大量的VLAN来隔离用户,4094个VLAN远远不能满足需求,于是QinQ技术应运而生。
QinQ报文格式如图2-1-3所示。
图2-1-3 QinQ报文格式
防火墙开启端口的QinQ功能后,当该端口接收到报文,无论报文是否带有VLAN 标签,防火墙都会为该报文打上本端口ACCESS VLAN的VLAN标签,如果是TRUNK口则会打上NATIVEVLAN的VLAN标签。这样,如果接收到的是已经带有VLAN标签的报文,该报文就成为双标签的报文;如果接收到的是不带VLAN标签的报文,该报文就成为带有端口默认VLAN标签的报文。
MPLS(多协议标签交换)独立于第二层和第三层协议,提供了一种方式,将IP地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。
MPLS报文格式如图2-1-4所示。
图2-1-4 MPLS报文格式
当防火墙工作在透明模式,开启MPLS穿透功能时,对通过防火墙的MPLS报文进行安全策略控制;关闭MPLS穿透功能时,防火墙将直接转发MPLS报文。当防火墙工作在路由模式,直接丢弃报文。
在这种模式下,防火墙类似于一台路由器转发数据包,将接收到数据包的源MAC地址替换为相应接口的MAC地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样,防火墙的每个接口均要根据区域规划配置IP地址。同时,防火墙可以在设置了IP的VLAN之间进行路由转发。
路由模式拓扑举例如图2-1-5所示。
图2-1-5 路由模式接入模式
这种模式是路由模式和交换模式的结合。
在很多用户网络中,网络基础设施的建设是先于网络安全建设进行的,当用户打算进行网络安全建设时,往往会发现由于初期的网络设计不周全而导致一些关键应用是依赖于网络拓扑的。因此在对这些关键应用进行安全防护时,安全设备必须采用交换模式,特别是透明模式接入,而对另外一些应用可能就要采用路由模式接入,这样在同一个网关设备上就需要透明模式和路由模式共存。
透明模式支持把同一网段的网络区域划分为不同的防火区,主要适用于基于业务的IP分配方案,可以将同一应用业务的服务器和客户机通过同一网段连接起来,以提高整体网络的通信性能。路由模式支持将路由信息转发到其他防火区,减少防火墙应用带来的网络管理的工作量。网络卫士防火墙路由模式提供完整的静态路由功能,对于中小规模的内部网络完全可以代替内网路由器。如果这两种工作模式不能混合在一起同时工作,用户网络将会出现由于被割裂而无法实施安全设备接入的困局。同时,防火墙支持NAT工作模式。防火墙甚至可以提供路由+透明+NAT混合模式,可以保证不会因为引入安全需求而破坏用户现有网络的完整性,防火墙可以友好地支持网络扩展,方便防火墙接入各种复杂的网络环境,以满足用户网络多样化的部署需求。
混合模式拓扑举例如图2-1-6所示。
图2-1-6 混合模式接入模式
链路捆绑是指将多个物理端口捆绑在一起,成为一个逻辑端口,以实现出/入流量在各成员端口中的负荷分担。逻辑链路的带宽增加了大约n-1倍(n为聚合的路数)。聚合后,可靠性大大提高,因为n条链路中只要有一条可以正常工作,则这个链路就可以工作。链路聚合还可以实现负载均衡。防火墙可以根据用户配置的端口负荷分担策略决定报文从哪一个成员端口发送到对端的交换机。当防火墙检测到其中一个成员端口的链路发生故障时,就停止在此端口发送报文,并根据负荷分担策略在剩下链路中重新计算报文发送的端口,故障端口恢复后再次重新计算报文发送端口。聚合链路可以通过预先设置的负载均衡算法将流量分配给聚合链路内不同的物理接口,实现链路级的负载均衡功能,也可防止单条链路转发速率过低而出现丢包的现象。防火墙上参与聚合的物理接口具备相同的属性,如相同的速度、单双工模式等。
使用链路捆绑接入模式对网络在增加链路带宽、实现链路传输弹性和冗余等方面是很有效的。