经典防火墙的操作指导书

备自身却无法保护的情况。在实际网络环境中，曾经发生过针对我们设备进行的telnet攻击，攻击者不停的telnet我们的设备的接口IP，造成正常的网管无法登录。只能在相邻设备上屏蔽攻击IP地址的访问，如果攻击者使用随即变化的IP地址，则根本无法防范。而在我们的设备上，可以通过设置ACL规则，规定只允许特定的IP地址的设备从特定的域访问防火墙，同时还可以启动flood防御等全方位的措施，充分保护了设备自身的安全。

2.3 防火墙的模式

2.3.1 概述

防火墙引入了称为工作模式的概念，目前防火墙支持路由模式、透明模式以及混合模式三种工作模式，其中混合模式是为了在透明模式下支持双机热备份而增加的，基本上可以理解为透明模式加上一个带IP的接口，我们主推的工作模式是路由模式和透明模式。

相对应的，Netscreen防火墙有类似的概念，他们提出的模式是路由模式、NAT模式和透明模式。我们产品的路由模式就完全包含了NS的路由和NAT两个概念。因为我们理解，路由和NAT是密不可分的，应该说我们提出的模式的概念比起他们的要更贴切一些。

2.3.2 路由模式

可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。

路由模式下可以使用NAT，双机热备份以及全部的攻击防范功能。同时，由于此模式是VRP工作的基本形态，各种应用都比较成熟。在可能的情况下，我们推荐使用路由模式进行组网。

2.3.3 透明模式

透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。

为了解决对防火墙的配置问题，在透明模式下存在一个系统IP，用户需要分配一个当前子网中没有使用的IP地址给防火墙，方便远程管理的使用。同时，系统IP还起到了让防火墙能够分辨当前所在子网的作用。在路由模式下，防火墙学习ARP表项是各个接口分别学习的，防火墙使用接口下的IP地址配合子网掩码，为属于自己子网的IP地址创建ARP表项。在透明模式下，某些防火墙内部功能还是基于IP地址信息实现的，不能没有ARP表项。但由于没有了接口IP地址，对于