防火墙模式：透明模式和路由模式

1、透明模式

透明模式：对用户是透明的，即用户意识不到防火墙的存在。接口无法配置IP地址，唯一IP地址配置在Management 接口，用于设备的管理。用于2层网络的安全隔离。控制同一局域网内部安全访问。

流量转发：与交换机类似，接口无IP地址，通过目的MAC地址转发数据包。

1.1 透明模式的特点

（1）防火墙的接口没有IP地址，工作在第二层（数据链路层），类似于网桥。

（2）用户感觉不到防火墙的存在，不需要修改现有的网络拓扑。

（3）可以进行ACL规则检查、状态过滤、防攻击检查等功能。

1.2 透明模式的适用场景

（1）网络升级或改造：在不希望更改现有网络架构的情况下引入防火墙，以增强安全性。

（2）数据中心和企业局域网：透明模式可以部署在内部网络中，用于监控和过滤内部流量。

2、路由模式

路由模式是防火墙最为经典的工作模式之一，它允许防火墙在三层（网络层）上工作，像路由器一样处理数据包的转发。防火墙在路由模式下充当网络安全网关，所以有时也被称为网关模式。

企业级网络，尤其是大型网络架构中，当需要对多个子网进行划分并提供跨网络的流量控制时，路由模式是首选。

2.1 路由模式的特点

（1）防火墙的各个接口都有IP地址，工作在第三层（网络层）。

（2）可以进行包过滤、NAT转换等功能。

（3）需要对网络拓扑进行修改，可能需要更改内部网络用户的网关和路由器的配置。

2.2 路由模式的适用场景

（1）路由模式常用于企业网络的边界，连接公司内部网络与外部互联网，或划分多个子网以进行细粒度的流量控制。例如：

（2）企业边界防火墙：用于保护公司内部网络免受外部网络威胁。

（3）数据中心网络：用于将不同的服务器区域（如生产环境和开发环境）隔离开来。

3、混合模式

混合模式结合了路由模式和透明模式的特点，允许防火墙同时在不同的接口上以不同的工作模式运行。该模式同时支持第二层（数据链路层）和第三层（网络层）的数据包处理。混合模式主要用于透明模式作双机备份的情况，此时启动VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）功能的接口需要配置IP 地址，其它接口不配置IP地址。

3.1 混合模式的特点

（1）部分接口工作在路由模式，部分接口工作在透明模式。

（2）可以同时利用路由模式和透明模式的优点。

（3）常用于双机热备份，启动VRRP功能的接口需要配置IP地址。

3.2 混合模式的的适用场景

（1）需要高可用性和冗余的环境：可以通过VRRP等协议实现双机备份，确保网络的可靠性。

（2）需要灵活配置和管理的场景：如网络中既有需要NAT的流量，又有需要保持原始IP地址的流量，或者需要在不同网络区域间灵活切换防火墙功能。