防火墙不同工作模式下使用技术研究

姜家文 潘祺喆 陈建华

摘要：现代社会信息交互主要依靠网络，TCP/IP协议仍然是现今运用最多的网络层协议。由于协议自身漏洞，数据传输中不仅存在数据泄露的风险，还可能受到外界的攻击。防火墙于内网和外网之间构建一道相对隔绝的保护屏障，不仅可以保护信息资料，还可以防止外网网络攻击。以华为USG6000防火墙为例子，研究了防火墙透明模式、路由模式、混合模式三种工作模式，列举了不同工作模式在各种网络环境下的应用场景，提出了复杂网络环境下防火墙多工作模式的混合应用，增强了网络数据在传输过程中的防失泄密能力和全网抗攻击能力。

关键词：防火墙;透明模式;路由模式;混合模式;数据保护

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2022）01-0034-03

现代社会是一个万物互联的时代，网络的产生、发展和成熟让信息交互变得愈发容易[1]。近年来安全事件的频发却给信息安全敲响了警钟。方便快捷的网络资源共享使得网络信息保密重要性和难度都日益加大[2]。TCP/IP协议仍然是现今运用最多的网络层协议。协议诞生初期并未对数据安全有过多考虑，使得该协议天然存在漏洞[3]。防火墙不仅可以起到安全过滤作用，还可以进行内外网隔离，防止外部网络入侵，是内部网络信息安全的第一道守护者[4]。本文以华为USG6000为例子，阐述了防火墙透明、路由和混合三种工作模式，分析列举了在不同网络环境下三种工作模式的应用场景，提出了复杂网络环境下防火墙多工作模式的混合应用，展现出不同网络环境下防火墙的使用方法，达到最佳信息保护效果。

1 防火墙工作模式

传统防火墙是基于IP报文五元组进行报文控制的[5]。五元组包括源MAC地址、目的MAC地址、源IP地址、目的IP地址以及端口号。通过识别报文的不同五元組信息，报文进行筛选，按照预先给防火墙配置的过滤规则，选择报文放行或者丢弃[6]。华为USG6000不仅具备上述传统防火墙的功能，还能提供应用层级别的安全防护能力，提供反病毒、入侵防御、URL过滤、内容过滤、文件过滤等一系列基于应用的特色功能。更重要的是具有透明、路由和混合三大工作模式，通过合理的部署和配置可以为网络信息安全提供有力的保护。

1.1 透明模式

透明模式是指在不影响原有的网络拓扑结构的基础上，作为二层桥接设备透明植入原有网络，进行二层交换和安全防护[7]。该模式下，USG6000所有接口均切换为二层交换接口，类似于一台二层网络交换机，对同VLAN下的数据包转发时对五元组信息不做任何改动。如图1所示，防火墙工作在透明下。

防火墙3个端口配置为Access模式，并划分为同一默认VLAN即可。如果工作在不同VLAN下，则需要将GE0/0/2和GE0/0/3配置为Access模式，划分在不同默认VLAN，将GE0/0/1配置为Trunk模式，并放行PC终端1和PC终端2所在VLAN。

1.2   路由模式

工作在路由模式下的防火墙类似于一台路由器和其他工作在网络层的设备交换路由信息。该模式下，USG6000所有端口均切换为三层路由接口，所有接口不能位于同一网段，且每个接口作为三层网关，都需要连接一个独立的网段。防火墙可以通过内部生成的IP路由表指导报文跨网段转发，还可以在接口部署NAT、DHCP、GRE等网络层实现功能[8]。如图2所示，防火墙工作在路由模式下。

防火墙每个端口都处于不同网段下，其中GE0/0/3处于Trust区域，连接需要保护的内网终端;GE0/0/2处于DMZ区域，连接对外网提供服务的服务器;GE0/0/1处于Untrust区域，连接可能存在大量入侵的外部网络。每个接口都处于不同网段，需要通过三层路由才可以进行报文传输。

1.3 混合模式

混合模式是指透明模式和路由模式的混合。USG6000防火墙实现了工作层次在接口上的业务切换。每个接口可以独自切换业务工作状态，并不需要整机切换。因此USG6000同时存在工作在二层和工作在三层的接口。此时防火墙的工作模式称之为混合模式。如图3，防火墙工作在混合模式下。

GE0/0/1和GE0/0/3都工作在二层模式下，位于同一个VLAN，以路由器接口作网络出口。GE0/0/2工作在3层模式下，直连一台电脑终端，用于对防火墙进行远程管理和配置。

2 适用场景

不同的网络信息保护需求产生防火墙不同的适用场景，不同场景下所需要的防火墙工作模式也不一样。合理使用防火墙的3种工作模式可以实现网络信息的最佳保护。

2.1 重点防护

防护区域要求不更改现有的网络拓扑的情况下，只有防护区域内部可以对外发起连接，阻止外部非法连接。该信息保护要求使用路由器或者交换机的ACL控制手段很难实现，但是使用防火墙则很容易。使用防火墙的透明模式还可以保持现有网络拓扑结构，仅需要将防火墙置于重点防护区域的出口。添加防火墙前后拓扑展示如图4所示。

防火墙处于透明模式下，此时GE0/0/1和GE0/0/2接口处于二层，模式为Access，处于默认VLAN 1。防火墙整体以二层设备接入原有网络，对原网络透明无感。添加安全规则，放行从Trust区域到Untrust区域主动建立连接的报文通过。触发防火墙状态检测机制后，该连接从GE0/0/1到GE0/0/2返回的报文也能正常通过，实现保护区域的对外访问。阻止并丢弃从Untrust区域到Trust区域主动建立连接的报文通过，防止不安全区域的探测和攻击报文，实现重点区域的信息保护。

2.2 网络出口

相对于内部网络来说，外部网络更加不可控制，存在诸多网络威胁。公网有限地址使得内部网络基本都是使用私网地址。私网地址对于互联网是不可路由的。为了能访问外部网络，NAT技术的使用不可避免。将防火墙放置于网络出口，在进行公私网地址转换的同时，还可以减少内部网络受到外部网络的入侵威胁。对外提供网络服务的内部服务器放置于DMZ区域，与内部网络的隔离，增强了内部网络的安全。

3 综合应用

当网络环境较为复杂时对安全规则的要求也会更加复杂。单独使用防火墙的透明模式和路由模式无法实现时，这时就需要使用混合模式。根据网络拓扑的不同，混合模式的配置也有所区别。如图5所示，要求Sever A、Server B、PC都处于同一个IP地址段，但是Server A对外提供服务，Server B则只对内部网络提供服务，PC不能被外界区域主动访问，但可以访问Server A、Server B和外部网络。

在此种网络拓扑情况下，仅使用透明模式和路由模式都不能很好地满足安全使用要求，此时需要在防火墙上综合应用两种模式。GE0/0/1工作在路由模式下且连接外界不安全区域。GE0/0/2和GE0/0/3工作在透明模式下，接口模式为Access，处于同一VLAN。Sever A对外提供服务，需要被外界风险网络访问，处于DMZ区域。Sever B仅对内部网络提供服务，PC也不能被外界主动访问，因此放置在内部安全区域。根据防火墙数据流动规则，高安全等级区域的数据流可以无碍访问低安全区域的数据流。因此，PC可以访问Server A、Server B和外部网络，Server A可以对外提供服务，Server B则只能被内部网络访问。

4 结束语

防火墙作为一个边界防御工具，放置在内外网之间，控制不同信任区域之间的数据流传递，从而保护内部网络免受非法用户的入侵。文中阐述了防火墙三种工作模式，分别为透明模式、路由模式、混合模式。防火墙不同工作模式的综合应用可以实现复杂网络拓扑下的安全控制需求，极大增强了内外网数据在传输过程中的防失泄密能力和抗攻击能力。

参考文献：

[1] 王旭.互联网发展史[J].个人电脑，2007，13（3）：182-188.

[2] 王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报，2015，41（2）：72-84.

[3] Stallings W. Cryptography and Network Security， Principles and Practice（International Edition）[J]. International Journal of Engineering & Computer Science， 2012， 1（1）：121-136.

[4] Dabbagh M，Rayes A.Internet of Things security and privacy[M]//Internet of Things From Hype to Reality.Cham：Springer International Publishing，2018：211-238.

[5] 王辉，刘勇.计算机通信网络安全和防护对策探析[J].信息与电脑（理论版），2019（3）：230-231.

[6] 亚历山大·科特，克利夫·王，罗伯特·F.厄巴彻.网络空间安全防御与态势感知[M].北京：机械工业出版社，2019.

[7]  Cheswick W R， Bellovin S M， Rubin A D. Firewalls and Internet security： repelling the wily hacker[M]. Addison-Wesley Longman Publishing Co.， Inc.， 2003.

[8] 徐慧洋，白杰，卢宏旺.华为防火墙技术漫谈[M].北京：人民邮电出版社，2015.

【通联编辑：代影】

收稿日期：2021-05-24

作者簡介：姜家文（1991—），男，通信作者，工程师，硕士，主要研究方向为网络安全与维护。

3375500338269