1. transparent:(透明)
在transparent模式下,设备检查通过的数据包,但并不改变包头中的任何源和目的信息。因为它不改变地址,所以保护网内的必须在untrust连接的网络内是有效且可寻路的,untrust很可能就接互连网了。
在transparent模式下,对于trust区和untrust区的ip地址就设为0.0.0.0,这样可以使防火墙在网络中不可见。但是,防火墙、vpn和流量管理还是要通过配置设备的策略来生效。防火墙相当于一个2层交换机(2层交换机本身是没有ip地址的)。
2. route模式(路由模式)
当设备处于route模式下,每一个都被设立为route模式或nat模式。不像transparent模式,所有的网口都处于不同的子网当中。这个网口处理通过的流量时不nat,即ip包头中的源地址和端口号都保持不变
3. NAT模式:(地址转换模式)
当一个网口处于nat模式,防火墙会把从trust口往外的ip包中的源ip地址和源端口改掉,将源地址改为untrust口的ip地址,而且,更换源端口为一个随机的产生的端口。
Nat模式,连接在route模式网口下的主机必须具有公网ip,没有任何映射和虚拟ip可以被建立起来。
文章转载至