安全設備的工作模式通常可以分為串聯模式和旁路模式兩大類。

這篇文章應該是屬於基礎知識了，本來以為大家都知道，但是最近發生的一件事，讓我決定寫一些關於網絡安全基礎知識的文章。寫的不好的地方，大家多多包涵。

 

事情是這樣的，前幾天跟一個朋友聊天，聊到了最近的華為事件，然后聊了網絡安全的各種新聞、事件，講的頭頭是道。后來說起安全設備，我提了一句這個設備得路由模式部署，不然有的功能用不了。我那朋友一臉懵圈問我，啥是路由模式？

 

WHAT？你不知道啥是路由模式？

 

 

后來我們再聊了幾句，發現這朋友對一些基礎性的東西了解的很少，許多事情只是知道大概怎么回事，所掌握的知識就像空中樓閣。

 

所以，我覺得很有必要寫一些關於基礎的東西。今天，先給大家講一講安全設備的幾種部署方式。當然，大神們可以直接繞過。

 

安全設備的工作模式通常可以分為串聯模式和旁路模式兩大類。

（1）串聯模式

顧名思義，在這種工作模式下，安全設備是串聯在網絡鏈路中的，所有的網絡流量都會經過安全設備過濾，再轉發出去。串聯模式又分為兩種，一是路由模式，二是透明模式。

①路由模式

路由模式也叫作網關模式，是指把安全設備當做一個路由設備或網關來使用。局域網中的出局流量先指向安全設備的內網口IP地址，安全設備通過靜態或動態路由配置或者NAT地址轉換，將數據發送出去。

②透明模式

透明模式也稱網橋模式、橋接模式，工作在這種模式時，原有的網絡設備不用更改任何配置，在網絡鏈路上完全透明。對於安全設備不用配置與交換機、路由器互聯的IP地址，只需要配置一對內部橋接用的IP地址即可。

看拓撲圖直觀一些。

 

 

 

 

 

如圖所示，左側是未接入安全設備的網絡配置和拓撲圖，交換機上聯端口G1/1配置IP地址為192.168.1.1/30，路由器下聯端口G1/1配置IP地址為192.168.1.2/30，交換機與路由器之間只需配置路由相互指向即可。

中間是路由模式下，接入安全設備之后的網絡拓撲圖，對比左圖可以看出，交換機的配置沒有改變，安全設備的下聯接口IP配置為192.168.1.2/30，這是左圖中路由器下聯接口的IP地址，安全設備的上聯接口IP配置為192.168.2.1/30，路由器的下聯接口也相應改為192.168.2.2/30。在配置路由時，交換機的下一跳地址也不再直接指向路由器，而是指向了安全設備，安全設備再通過內部的路由配置指向路由器，從而完成整個網絡數據的轉發。

右側是透明模式下，接入安全設備后的拓撲圖，對比左圖可以看出，交換機和路由器的配置未發生改變，安全設備的接口只需配置一對內部橋接地址1.1.1.1/2即可。這種模式下，運維人員無需修改網絡配置，即可實現安全設備的接入。

那么，問題來了，安全設備串聯時，如何選擇用路由模式還是透明模式？這兩種模式的優缺點？

其實，從上圖可以看出來，路由模式部署方式比較麻煩，需要對網絡進行較大的改動，重新規划互聯IP地址，而且一旦設備出現問題，故障恢復時間會很長。但是，路由模式下，很多功能都可以使用，比如NAT地址轉換、VPN通道、負載均衡等。在一些小微企業，完全可以用安全設備做NAT地址轉換，代替路由器功能，節省開支。

而透明模式了，部署簡單，網絡配置不做任何更改，只需要在網絡鏈路中串接設備即可。而且，如果安全設備故障時，直接把設備跳過，或是替換一台設備，配置簡單，恢復時間短。但是像NAT、負載均衡等三層以上的功能使用不了。不過，對於大部分企業來說，NAT、負載均衡、VPN都有專用設備，安全設備只需要做好安全防護的功能即可。因此，在實際部署中，透明模式用的比較多。

 

（2）旁路模式

在旁路模式下，安全設備在網絡結構中處於旁路狀態。旁路模式可以分為旁路監聽模式和旁路代理模式。

①旁路監聽模式

所謂的旁路監聽模式，指安全設備部署於交換機旁路，通過配置交換機鏡像功能，將進出口流量一模一樣鏡像一份給安全設備，原有流量走向不變。安全設備通過鏡像流量對網絡、應用系統狀態進行監聽、檢測和分析。

②旁路代理模式

安全設備工作於旁路代理模式時，設備相當於代理網關。此時，需要更改網絡配置，將所有的網絡數據及訪問流量指向旁路的安全設備，經過安全設備過濾后，再返回交換機。

通過拓撲圖對比一下流量走向。

 

 

 

 

如圖所示，旁路監聽模式時，進出的流量走向與未加安全設備時無任何變化，只是通過交換機將進出流量鏡像一份給安全設備。

旁路代理模式時，進出的流量首先經過安全設備，安全設備對數據進行檢測分析后，再將數據返還給交換機。

哪些設備用這兩種旁路模式？優缺點是什么？

常見的旁路部署的設備一般是IDS、負載均衡、漏洞掃描等檢測分析類的設備。

旁路監聽模式部署方式簡單，設備上下線對網絡沒有任何影響。但是由於是鏡像流量，安全設備只能看，很難對網絡流量進行攔截、過濾等操作，功能稍微簡單。

旁路代理模式可以實現對網絡流量的過濾、攔截、重分發功能，但是部署方式較為復雜，而且設備故障后，會對網絡產生重大影響，故障恢復時間較長。

安全設備部署時，具體選用哪種模式，還得看具體的網絡環境，以及你想實現的功能需求。

今天的課程到此結束。編寫不易，如果覺得這篇文章對你有點幫助，請幫忙點擊右下角“在看”。
————————————————
版權聲明：本文為CSDN博主「網絡安全研究所」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/zjzqxzhj/article/details/113507115