幾乎大部分網(wǎng)絡(luò)都有交換機(jī)、路由器和防火墻這三種基本設(shè)備,因此這三種設(shè)備對于網(wǎng)絡(luò)而言非常重要,很多人對這三種設(shè)備的使用容易弄混,其中交換機(jī)與防火墻有不少朋友問到關(guān)于他們的使用,來看一下他們的應(yīng)用與區(qū)別。

本篇內(nèi)容主要包括兩部分:

1、交換機(jī)與防火墻的區(qū)別

2、交換機(jī)與防火墻的如何對接配置上網(wǎng)

一、交換機(jī)與防火墻的區(qū)別

一、交換機(jī)

交換機(jī)的我們可以把它看作是橋接網(wǎng)絡(luò)的設(shè)備,在局域網(wǎng)(LAN)中,交換機(jī)類似于城市中的立交橋,它的主要功能是橋接其他網(wǎng)絡(luò)設(shè)備同(路由器、防火墻和無線接入點(diǎn)),并連接客戶端設(shè)備(計算機(jī)、服務(wù)器、網(wǎng)絡(luò)攝像機(jī)和IP打印機(jī))。簡而言之,交換機(jī)可以為網(wǎng)絡(luò)上所有的不同設(shè)備提供一個中心連接點(diǎn)。

QQ截圖20200728120604.png

二、防火墻——保護(hù)網(wǎng)絡(luò)

防火墻也被稱為防護(hù)墻,它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng),可以將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離。通常,防火墻可以保護(hù)內(nèi)部/私有局域網(wǎng)免受外部攻擊,并防止重要數(shù)據(jù)泄露。在沒有防火墻的情況下,路由器會在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間盲目傳遞流量且沒有過濾機(jī)制,而防火墻不僅能夠監(jiān)控流量,還能夠阻止未經(jīng)授權(quán)的流量。

總之,他的作是反病毒,入侵防御,URL過濾,文件過濾,內(nèi)容過濾,應(yīng)用行為控制,郵件過濾,防范常見DDoS攻擊,傳統(tǒng)的單包攻擊。這些三層交換機(jī)都沒有,是防火墻的特性。

QQ截圖20200728120626.png

三、防火墻與交換機(jī)的區(qū)別

1、交換機(jī)有防火墻的功能嗎? 可以當(dāng)防火墻使用嗎?

普通的交換機(jī)是沒有的,因為防火墻功能是在三層以上進(jìn)行的,所以至少要三層交換機(jī)才有可能支持防火墻功能,例如有一些三層交換機(jī)可以配置ACL(訪問控制規(guī)則,根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進(jìn)行過濾)規(guī)則、行為控制等等部分防火墻功能。在網(wǎng)絡(luò)安全要求不高的情況下,完全可以忽略防火墻。

2、防火墻有路由功能嗎?可以當(dāng)路由使用嗎?

這是一個比較爭議的問題,現(xiàn)在防火墻已具備路由器功能,所以很多時候可以用防火墻直接替換路由器,新建網(wǎng)絡(luò)直接用防火墻做出口,我們可以從防火墻的三種模式就可以了解到它與路由器之間的相似之處。

防火墻有部署三種工作模式:

路由模式(也叫網(wǎng)關(guān)模式)、透明模式、旁路模式,我們來了解下它的路由模式與透明模式。

QQ截圖20200728120756.png

路由模式:

多用于出口部署配置NAT、路由、端口映射。此模式下防火墻所有功能均可以正常使用。

當(dāng)防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間時,需要將防火墻與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)以及DMZ 三個區(qū)域相連的接口分別配置成不同網(wǎng)段的IP地址,重新規(guī)劃原有的網(wǎng)絡(luò)拓?fù),此時相當(dāng)于一臺路由器。

透明模式:

多用于串連與網(wǎng)絡(luò)中,對兩個不通安全域做邊界防護(hù)。此模式下端口映射功能、NAT功能、VPN功能無法使用。

混合模式:

如果防火墻既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口無IP 地址),則防火墻工作在混合模式下。混合模式主要用于透明模式作雙機(jī)備份的情況,使用場景不多。

二、三層交換機(jī)與防火墻對接上網(wǎng)配置示例

我們上面了解到了防火墻與交換機(jī)的區(qū)別與功能,那么防火墻與交換機(jī)又是如何配合使用在項目中呢?這里面我們以華為配置為例。

一、組網(wǎng)網(wǎng)要求

某公司擁有多個部門且位于不同網(wǎng)段,各部門均有訪問Internet的需求,F(xiàn)要求用戶通過三層交換機(jī)和防火墻訪問外部網(wǎng)絡(luò),且要求三層交換機(jī)作為用戶的網(wǎng)關(guān)。

二、三層交換機(jī)與防火墻對接上網(wǎng)組網(wǎng)圖 

QQ截圖20200728120843.png

三、配置思路

配置交換機(jī)作為用戶的網(wǎng)關(guān),通過VLANIF接口,實(shí)現(xiàn)跨網(wǎng)段用戶互訪。

配置交換機(jī)作為DHCP服務(wù)器,為用戶分配IP地址。

開啟防火墻域間安全策略,使不同域的報文可以相互轉(zhuǎn)發(fā)。

配置防火墻PAT轉(zhuǎn)換功能,使用戶可以訪問外部網(wǎng)絡(luò)。

四、配置步驟

1、配置交換機(jī)

# 配置連接用戶的接口和對應(yīng)的VLANIF接口。

QQ截圖20200728120908.png

# 配置連接防火墻的接口和對應(yīng)的VLANIF接口。

QQ截圖20200728120929.png

# 配置缺省路由。

QQ截圖20200728120946.png

# 配置DHCP服務(wù)器。

QQ截圖20200728121001.png

現(xiàn)在交換機(jī)配置完全。

2、配置防火墻

# 配置連接交換機(jī)的接口對應(yīng)的IP地址。

QQ截圖20200728121022.png

# 配置連接公網(wǎng)的接口對應(yīng)的IP地址。

QQ截圖20200728121037.png

# 配置缺省路由和回程路由。

QQ截圖20200728121054.png

# 配置安全策略。

QQ截圖20200728121110.png

# 配置安全策略,允許域間互訪。

QQ截圖20200728121125.png

# 配置PAT地址池,開啟允許端口地址轉(zhuǎn)換。

QQ截圖20200728121139.png

# 配置源PAT策略,實(shí)現(xiàn)私網(wǎng)指定網(wǎng)段訪問公網(wǎng)時自動進(jìn)行源地址轉(zhuǎn)換。

QQ截圖20200728121158.png

經(jīng)過配置后:

配置PC1的IP地址為192.168.1.2/24,網(wǎng)關(guān)為192.168.1.1;PC2的IP地址為192.168.2.2/24,網(wǎng)關(guān)為192.168.2.1。

配置外網(wǎng)PC的IP地址為200.0.0.1/24,網(wǎng)關(guān)為200.0.0.2。

配置完成后,PC1和PC2都可以Ping通外網(wǎng)的IP 200.0.0.1/24,PC1和PC2都可以訪問Internet。