| 出版日期:2002-11-18 总期号:1169 本年期号:86 |
|
 |
多工作模式下的自适应技术
联想网御防火墙技术应用谈 之一 李江力、王海涛 随着网络新技术的不断应用,用户的网络结构也变得越来越复杂,用户对于防火墙所能适应的工作模式也有了新的要求。 
图一 传统防火墙一般工作于路由模式,防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信。如图一所示,就是一个最简单的工作于路由模式的防火墙的应用。网络192.168.1.0(掩码为255.255.255.0)和10.1.1.0(掩码为255.255.255.0)通过防火墙的路由转发包功能而相互通信。 但是,路由模式下的防火墙有两个局限:如果防火墙的不同网口所接的局域网都位于同一网段时,传统的工作于网络层的防火墙是无法完成这种方式的包转发的;被防火墙保护的网络内的主机要将原来指向路由器的网关设置修改成指向防火墙,同时,被保护网络原来的路由器应该修改路由表以便转发防火墙的IP报文。如果用户的网络非常复杂时,这就给防火墙用户带来了设置上的麻烦。 
图二 这样就产生了工作在透明模式下的防火墙,工作在透明模式下的防火墙可以克服上述路由模式下防火墙的弱点,它不但可以完成同一网段的包转发,同时不需要修改周边网络设备的设置,提供很好的透明性。 由图二分析我们可以知道,工作于透明模式的防火墙可以实现透明接入,工作于路由模式的防火墙可以实现不同网段的连接。但路由模式的优点和透明模式的优点是不能同时并存的。所以,大多数的防火墙一般同时保留了透明模式和路由模式,根据用户网络情况及用户需求,在使用时由用户进行选择,让防火墙在透明模式和路由模式下进行切换,或提供一种所谓的混合模式——同时有透明模式和路由模式,但与物理接口是相关的,各物理网卡只能工作在路由模式或透明模式,而不能同时使用这两种模式。 
图三 联想网御2000防火墙采用独特的自适应技术,根据用户的网络配置情况,防火墙可以自动配置成工作在路由方式或者透明桥方式下,甚至可以同时启用这两种工作模式,而不需要用户手工配置,无需工作模式切换,就能同时实现在透明模式和路由模式下的全部功能,且工作模式与物理网卡无关。这样可以同时拥有透明和路由两种模式下的优点,通过与之配合的主动式防火墙过滤技术,大大提高了网御2000防火墙的适应性、安全性和高性能。 图三是一个混合使用了防火墙的路由与透明模式的网络拓扑图,联想网御2000防火墙很好地实现了多工作模式的自适应,用户在设置防火墙时候的工作量大大地降低了。用户实际工作中的使用环境是多种多样的,相信具备了“多工作模式自适应技术”的联想网御2000防火墙一定会使用户在不同网络环境下应用得更加得心应手。 |
||||||||||||||||||||||
