交換機與防火墻的有何區別？交換機與防火墻如何配置上網(wǎng)？

　　幾乎大部分網(wǎng)絡(luò )都有交換機、路由器和防火墻這三種基本設備，因此這三種設備對于網(wǎng)絡(luò )而言非常重要，很多人對這三種設備的使用容易弄混，其中交換機與防火墻有不少朋友問(wèn)到關(guān)于他們的使用，本期我們來(lái)看一下他們的應用與區別。

　　本篇內容主要包括兩部分：

　　1、交換機與防火墻的區別

　　2、交換機與防火墻的如何對接配置上網(wǎng)

　　一、交換機與防火墻的區別

　　一、交換機

　　交換機的我們可以把它看作是橋接網(wǎng)絡(luò )的設備，在局域網(wǎng)(LAN)中，交換機類(lèi)似于城市中的立交橋，它的主要功能是橋接其他網(wǎng)絡(luò )設備同 (路由器、防火墻和無(wú)線(xiàn)接入點(diǎn))，并連接客戶(hù)端設備(計算機、服務(wù)器、網(wǎng)絡(luò )攝像機和IP打印機)。簡(jiǎn)而言之，交換機可以為網(wǎng)絡(luò )上所有的不同設備提供一個(gè)中心連接點(diǎn)。

　　二、防火墻——保護網(wǎng)絡(luò )

　　防火墻也被稱(chēng)為防護墻，它是一種位于內部網(wǎng)絡(luò )與外部網(wǎng)絡(luò )之間 的網(wǎng)絡(luò )安全系統，可以將內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )隔離 。通常，防火墻可以保護內部/私有局域網(wǎng)免受外部攻擊，并防止重要數據泄露。在沒(méi)有防火墻的情況下，路由器會(huì )在內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )之間盲目傳遞流量且沒(méi)有過(guò)濾機制，而防火墻不僅能夠監控流量，還能夠阻止未經(jīng)授權的流量。

　　總之，他的作是反病毒，入侵防御，URL過(guò)濾，文件過(guò)濾，內容過(guò)濾， 應用行為控制，郵件過(guò)濾，防范常見(jiàn)DDoS攻擊，傳統的單包攻擊。這些三層交換機都沒(méi)有，是防火墻的特性。

　　三、防火墻與交換機的區別

　　我們在做網(wǎng)絡(luò )配置時(shí)可能有兩個(gè)疑問(wèn)，這個(gè)也是經(jīng)常在我弱電行業(yè)網(wǎng)VIP群中有朋友問(wèn)起的，我們來(lái)看下這兩個(gè)問(wèn)題。

　　1、交換機有防火墻的功能嗎? 可以當防火墻使用嗎？

　　普通的交換機是沒(méi)有的，因為防火墻功能是在三層以上進(jìn)行的，所以至少要三層交換機才有可能支持防火墻功能，例如有一些三層交換機可以配置ACL(訪(fǎng)問(wèn)控制規則，根據設定的條件對接口上的數據包進(jìn)行過(guò)濾 )規則、行為控制等等部分防火墻功能。在網(wǎng)絡(luò )安全要求不高的情況下，完全可以忽略防火墻。

　　2、防火墻有路由功能嗎？可以當路由使用嗎？

　　這是一個(gè)比較爭議的問(wèn)題，現在防火墻已具備路由器功能 ，所以很多時(shí)候可以用防火墻直接替換路由器，新建網(wǎng)絡(luò )直接用防火墻做出口，我們可以從防火墻的三種模式就可以了解到它與路由器之間的相似之處。

　　防火墻有部署三種工作模式：

　　路由模式(也叫網(wǎng)關(guān)模式 )、透明模式、旁路模式，我們來(lái)了解下它的路由模式與透明模式。

　　路由模式：

　　多用于出口部署配置NAT、路由、端口映射。此模式下防火墻所有功能均可以正常使用。

　　當防火墻位于內部網(wǎng)絡(luò ) 和外部網(wǎng)絡(luò ) 之間時(shí)，需要將防火墻與內部網(wǎng)絡(luò )、外部網(wǎng)絡(luò )以及DMZ 三個(gè)區域相連的接口分別配置成不同網(wǎng)段的IP地址，重新規劃原有的網(wǎng)絡(luò )拓撲，此時(shí)相當于一臺路由器。

　　透明模式：

　　多用于串連與網(wǎng)絡(luò )中，對兩個(gè)不通安全域做邊界防護 。此模式下端口映射功能、NAT功能、VPN功能無(wú)法使用。

　　混合模式：

　　如果防火墻既存在工作在路由模式 的接口(接口具有IP 地址)，又存在工作在透明模式的接口 (接口無(wú)IP 地址)，則防火墻工作在混合模式下?；旌夏Ｊ街饕糜谕该髂Ｊ阶麟p機備份的情況，使用場(chǎng)景不多。

　　二、三層交換機與防火墻對接上網(wǎng)配置示例

　　我們上面了解到了防火墻與交換機的區別與功能，那么防火墻與交換機又是如何配合使用在項目中呢?這里面我們以華為配置為例。

　　一、組網(wǎng)網(wǎng)要求

　　某公司擁有多個(gè)部門(mén)且位于不同網(wǎng)段，各部門(mén)均有訪(fǎng)問(wèn)Internet的需求?，F要求用戶(hù)通過(guò)三層交換機和防火墻訪(fǎng)問(wèn)外部網(wǎng)絡(luò )，且要求三層交換機作為用戶(hù)的網(wǎng)關(guān)。

　　二、三層交換機與防火墻對接上網(wǎng)組網(wǎng)圖

　　三、配置思路

　　配置交換機作為用戶(hù)的網(wǎng)關(guān)，通過(guò)VLANIF接口，實(shí)現跨網(wǎng)段用戶(hù)互訪(fǎng)。

　　配置交換機作為DHCP服務(wù)器，為用戶(hù)分配IP地址。

　　開(kāi)啟防火墻域間安全策略，使不同域的報文可以相互轉發(fā)。

　　配置防火墻PAT轉換功能，使用戶(hù)可以訪(fǎng)問(wèn)外部網(wǎng)絡(luò )。

　　四、配置步驟

　　1、配置交換機

　　# 配置連接用戶(hù)的接口和對應的VLANIF接口。

　　# 配置連接防火墻的接口和對應的VLANIF接口。

　　# 配置缺省路由。

　　# 配置DHCP服務(wù)器。

　　現在交換機配置完全。

　　2、配置防火墻

　　# 配置連接交換機的接口對應的IP地址。

　　# 配置連接公網(wǎng)的接口對應的IP地址。

　　# 配置缺省路由和回程路由。

　　# 配置安全策略。

　　# 配置安全策略，允許域間互訪(fǎng)。

　　# 配置PAT地址池，開(kāi)啟允許端口地址轉換。

　　# 配置源PAT策略，實(shí)現私網(wǎng)指定網(wǎng)段訪(fǎng)問(wèn)公網(wǎng)時(shí)自動(dòng)進(jìn)行源地址轉換。

　　經(jīng)過(guò)配置后：

　　配置PC1的IP地址為192.168.1.2/24，網(wǎng)關(guān)為192.168.1.1;PC2的IP地址為192.168.2.2/24，網(wǎng)關(guān)為192.168.2.1。

　　配置外網(wǎng)PC的IP地址為200.0.0.1/24，網(wǎng)關(guān)為200.0.0.2。

　　配置完成后，PC1和PC2都可以Ping通外網(wǎng)的IP 200.0.0.1/24，PC1和PC2都可以訪(fǎng)問(wèn)Internet。