在线模式
改变现有网络拓扑
网络拓扑中的一员,如果其出现问题必然影响该网络。网络中的流量会经过此设备,由此设备向其他设备转发
旁路部署
不改变现有网络拓扑
理论上不属于拓扑中的设备,如果其出现问题不会影响网络。 由 (端口镜像) 复制出一份流量到此设备,不会改变现有网络拓扑,常见于安全审计设备
透明模式
改变现有网络拓扑
就像一根只能网线 可以理解成一个 传输介质,别的流量经过它,它就会直接向下转发 又比方说 一台FW 透明部署,流量经过它,它可以根据包过滤、策略等拦截,但是它不会选择其他路径
对用户是透明的(Transparent),即用户意识不到防火墙的存在。要想实现透明模式,防火墙必须在没有 IP地址的情况下工作,不需要对其设置IP地址,用户也不知道防火墙的IP地址
在透明模式下,防火墙将流过的所有二层数据进行解封装,把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是,防火墙会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发,而不改变数据帧的源地址和目的地址。
防火墙在透明模式下工作时,对用户来说像是网桥或交换机,用户感觉不到防火墙的存在,所以称之为透明模式。这种模式对网络结构的变更最小,所以适合一些特殊情况。但是要注意的是在透明模式下,防火墙的功能要受到一些限制,某些过滤功能在透明模式下无法实现。
网关模式
改变现有网络拓扑
作为该网络中,此条链路的出口
