简介:防火墙可以在三种模式下进行操作:路由/NAT模式和透明模式以及混合模式(路由/nat和透明模式的结合,也即是三层管理和二层管理);
路由/NAT 模式部署灵活,并且支持防火墙和路由器两种设备的功能;
尽管如此,许多希望通过最少的网络中断来实现安全保护的客户却会选择透明模式;
而STONEos平台提供了二层的安全控制和三层的网络管理的统一集成架构平台;
1路由/NAT模式:
这个模式下可以做NAT配置;
提供NAT配置,包括源NAT以及目的NAT的配置;
2透明模式:
在透明模式下,安全设备作为一个二层设备工作。
IP 层数据包头通常不会产生变化。如果得不到数据包的目的地址,设备会将数据包转发到应用了安全策略的所有接口上。
StoneOS 通过VSwitch 概念形成虚拟广播域。
StoneOS 安全设备能够部署到复杂的VLAN
环境中,在执行细粒度安全检查和过滤的同时不改变底层网络的配置和拓扑结构。
一个VSwitch 是一个VLAN 广播域。一个VSwitch 包含一个或者多个VLAN 子接口。子接口通常都使用相同的VLAN 标签。例如,在图2中,e1/1 的VLAN10 和e1/2 的VLAN10 属于同一个VSwitch 。在Zone 1 和Zone 2 之间,可以配置策略规则来控制流量的传输和执行流量的安全检查。如果策略允许,标签为10 的流量就能够在域之间传输。
一个VSwitch 中也可以包含具有不同VLAN 标签的子接口。在这种情况下,StoneOS 除了在域之间传输流量(如果策略允许),还可以对VLAN 进行tag 的重新标记。
3stone-os混合模式
StoneOS 的数据平面将路由/NAT 模式以及透明模式无缝结合在一起。单一的路由/NAT 模式或透明模式的产生是因为没有另一个模式的操作;
总而言之,Hillstone 的混合操作模式开创了将交换机功能与路由器功能集于同一个设备的先河。混合操作模式使Hillstone 安全设备可以取代多设备的联合使用,包括二层交换机、三层交换机、路由器和防火墙,由此极大地简化了网络的管理,降低了网络方案的总体拥有成本,对用户投资实现了有效的保护!