簡介:防火牆可以在三種模式下進行操作:路由/NAT模式和透明模式以及混合模式(路由/nat和透明模式的結合,也即是三層管理和二層管理);
路由/NAT 模式部署靈活,並且支持防火牆和路由器兩種設備的功能;
盡管如此,許多希望通過最少的網絡中斷來實現安全保護的客戶卻會選擇透明模式;
而STONEos平台提供了二層的安全控制和三層的網絡管理的統一集成架構平台;
1路由/NAT模式:
這個模式下可以做NAT配置;
提供NAT配置,包括源NAT以及目的NAT的配置;
2透明模式:
在透明模式下,安全設備作為一個二層設備工作。
IP 層數據包頭通常不會產生變化。如果得不到數據包的目的地址,設備會將數據包轉發到應用了安全策略的所有接口上。
StoneOS 通過VSwitch 概念形成虛擬廣播域。
StoneOS 安全設備能夠部署到復雜的VLAN
環境中,在執行細粒度安全檢查和過濾的同時不改變底層網絡的配置和拓撲結構。
一個VSwitch 是一個VLAN 廣播域。一個VSwitch 包含一個或者多個VLAN 子接口。子接口通常都使用相同的VLAN 標簽。例如,在圖2中,e1/1 的VLAN10 和e1/2 的VLAN10 屬於同一個VSwitch 。在Zone 1 和Zone 2 之間,可以配置策略規則來控制流量的傳輸和執行流量的安全檢查。如果策略允許,標簽為10 的流量就能夠在域之間傳輸。
一個VSwitch 中也可以包含具有不同VLAN 標簽的子接口。在這種情況下,StoneOS 除了在域之間傳輸流量(如果策略允許),還可以對VLAN 進行tag 的重新標記。
3stone-os混合模式
StoneOS 的數據平面將路由/NAT 模式以及透明模式無縫結合在一起。單一的路由/NAT 模式或透明模式的產生是因為沒有另一個模式的操作;
總而言之,Hillstone 的混合操作模式開創了將交換機功能與路由器功能集於同一個設備的先河。混合操作模式使Hillstone 安全設備可以取代多設備的聯合使用,包括二層交換機、三層交換機、路由器和防火牆,由此極大地簡化了網絡的管理,降低了網絡方案的總體擁有成本,對用戶投資實現了有效的保護!