防火墙的工作模式有哪几种

2024年4月1日发(作者：)

防火墙的工作模式有哪几种

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序

的快速蔓延。学习防火墙的网友肯定了解过防火墙的工作模式，具体有哪几种呢?这篇文

章主要介绍了防火墙的三种工作模式介绍,需要的朋友可以参考下

防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。

如果防火墙以第三层对外连接(接口具有IP 地址)，则认为防火墙工作在路由模式下;

若防火墙通过第二层对外连接(接口无IP 地址)，则防火墙工作在透明模式下;若防火墙同

时具有工作在路由模式和透明模式的接口(某些接口具有IP 地址，某些接口无IP 地址)，

则防火墙工作在混合模式下。防火墙三种工作模式的简介

1、路由模式

当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及

DMZ 三个区域相连的接口分别配置成不同网段的IP 地址，重新规划原有的网络拓扑，此

时相当于一台路由器。

如下图所示，防火墙的Trust区域接口与公司内部网络相连，Untrust 区域接口与外

部网络相连。值得注意的是，Trust 区域接口和Untrust 区域接口分别处于两个不同的子

网中。

采用路由模式时，可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而，

路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配

置等)，这是一件相当费事的工作，因此在使用该模式时需权衡利弊。

2. 透明模式

如果防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火

墙对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到防火墙的存在。

采用透明模式时，只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可，无

需修改任何已有的配置。与路由模式相同，IP 报文同样经过相关的过滤检查(但是IP 报文

中的源或目的地址不会改变)，内部网络用户依旧受到防火墙的保护。防火墙透明模式的

典型组网方式如下：

如上图所示，防火墙的Trust 区域接口与公司内部网络相连，Untrust 区域接口与外

部网络相连，需要注意的是内部网络和外部网络必须处于同一个子网。

3. 混合模式

如果防火墙既存在工作在路由模式的接口(接口具有IP 地址)，又存在工作在透明模式

的接口(接口无IP 地址)，则防火墙工作在混合模式下。混合模式主要用于透明模式作双机

备份的情况，此时启动VRRP(Virtual Router Redundancy Protocol，虚拟路由冗余协议)

功能的接口需要配置IP 地址，其它接口不配置IP地址。

防火墙混合模式的典型组网方式如下：

如上图所示，主/备 防火墙的Trust 区域接口与公司内部网络相连，Untrust区域接口

与外部网络相连，主/备防火墙之间通过HUB 或LAN Switch 实现互相连接，并运行

VRRP 协议进行备份。需要注意的是内部网络和外部网络必须处于同一个子网。

防火墙三种模式的工作过程

1、路由模式工作过程

防火墙工作在路由模式下，此时所有接口都配置IP 地址，各接口所在的安全区域是

三层区域，不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域

的接口间进行转发时，根据报文的IP 地址来查找路由表，此时防火墙表现为一个路由器。

但是， 防火墙与路由器存在不同， 防火墙中IP 报文还需要送到上层进行相关过滤等

处理，通过检查会话表或ACL 规则以确定是否允许该报文通过。此外，还要完成其它防

攻击检查。路由模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监

控等功能。

2、透明模式工作过程

防火墙工作在透明模式(也可以称为桥模式)下，此时所有接口都不能配置IP 地址，接

口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。当报

文在二层区域的接口间进行转发时，需要根据报文的MAC 地址来寻找出接口，此时防火

墙表现为一个透明网桥。

但是，防火墙与网桥存在不同，防火墙中IP 报文还需要送到上层进行相关过滤等处

理，通过检查会话表或ACL 规则以确定是否允许该报文通过。此外，还要完成其它防攻

击检查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控

等功能。工作在透明模式下的 防火墙在数据链路层连接局域网(LAN)，网络终端用户无需

为连接网络而对设备进行特别配置，就像LAN Switch 进行网络连接。

3、混合模式工作过程

防火墙工作在混合透明模式下，此时部分接口配置IP 地址，部分接口不能配置IP 地

址。配置IP 地址的接口所在的安全区域是三层区域，接口上启动VRRP功能，用于双机

热备份;而未配置IP 地址的接口所在的安全区域是二层区域，和二层区域相关接口连接的

外部用户同属一个子网。当报文在二层区域的接口间进行转发时，转发过程与透明模式的

工作过 程完全相同。

补充阅读：防火墙主要使用技巧

一、所有的防火墙文件规则必须更改。

尽管这种方法听起来很容易，但是由于防火墙没有内置的变动管理流程，因此文件更

改对于许多企业来说都不是最佳的实践方法。如果防火墙管理员因为突发情况或者一些其

他形式的业务中断做出更改，那么他撞到枪口上的可能性就会比较大。但是如果这种更改

抵消了之前的协议更改，会导致宕机吗?这是一个相当高发的状况。

防火墙管理产品的中央控制台能全面可视所有的防火墙规则基础，因此团队的所有成

员都必须达成共识，观察谁进行了何种更改。这样就能及时发现并修理故障，让整个协议

管理更加简单和高效。

二、以最小的权限安装所有的访问规则。

另一个常见的安全问题是权限过度的规则设置。防火墙规则是由三个域构成的：即源

(IP地址)，目的地(网络/子网络)和服务(应用软件或者其他目的地)。为了确保每个用户都

有足够的端口来访问他们所需的系统，常用方法是在一个或者更多域内指定打来那个的目

标对象。当你出于业务持续性的需要允许大范围的IP地址来访问大型企业的网络，这些

规则就会变得权限过度释放，因此就会增加不安全因素。服务域的规则是开放65535个

TCP端口的ANY。防火墙管理员真的就意味着为黑客开放了65535个攻击矢量?

三、根据法规协议和更改需求来校验每项防火墙的更改。

在防火墙操作中，日常工作都是以寻找问题，修正问题和安装新系统为中心的。在安

装最新防火墙规则来解决问题，应用新产品和业务部门的过程中，我们经常会遗忘防火墙

也是企业安全协议的物理执行者。每项规则都应该重新审核来确保它能符合安全协议和任

何法规协议的内容和精神，而不仅是一篇法律条文。

四、当服务过期后从防火墙规则中删除无用的规则。

规则膨胀是防火墙经常会出现的安全问题，因为多数运作团队都没有删除规则的流程。

业务部门擅长让你知道他们了解这些新规则，却从来不会让防火墙团队知道他们不再使用

某些服务了。了解退役的服务器和网络以及应用软件更新周期对于达成规则共识是个好的

开始。运行无用规则的报表是另外一步。黑客喜欢从来不删除规则的防火墙团队。