防火墙交换模式和路由模式问题 (转至 绿盟)

主题 防火墙交换模式和路由模式问题 « 上一主题 | 下一主题 »
fong	发表于：2003-06-27 10:36 回复
发帖： 34 注册： 2002-08-12	两者在性能和安全性上有何区别呢？大家讨论下吧。
南阳岩冰	发表于：2003-06-27 11:45 回复
发帖： 3741 注册： 2001-03-28	[已被删除] 南阳岩冰 删除于 2003-06-29 11:23:50 --- 曾为梅花醉不归。佳人挽袖乞新词。轻红遍写鸳鸯带，浓碧争斟翡翠卮。 人已老，事皆非。花前不饮泪沾衣。如今但欲关门睡，一任梅花作雪飞。
powdera	发表于：2003-06-27 13:50 回复
发帖： 36 注册： 2002-11-16	交换模式是采用透明网桥的原理，工作时在网络里相当于二层交换机。路由模式内部有 路由模块在工作，在网络里起到路由的功能。 这两者都对通过的数据包进行检测，状态检测能力上应该是相同的。 协议处理上，虽然路由模式下增加了路由表查找的负担，但是如果用于比较简单的网络 结构，路由表比较小的话，两者性能差别不大。 安全性上，交换模式的好处是本身可以完全没有IP地址，可以防止对防火墙的攻击，而 路由模式则是肯定要有IP的。 另外，如果需要NAT的话，用路由模式会更合理些。 暂时就想到这些。
powdera	发表于：2003-06-27 14:21 回复
发帖： 36 注册： 2002-11-16	引用 (南阳岩冰 @ 2003-06-27 11:45) 应该是交互模式吧。。 数据到达－－检测－－判断－－给出一个挑战响应。 路由模式 数据到达－－寻址路由－－转发 "南阳岩冰"网友的解释颇有新异。 原来是这样理解防火墙的基本技术的... 原来有这样的理论水平才可以在家里搞所谓替代防火墙的“第五代GAP”... 属实有点玄 ...
南阳岩冰	发表于：2003-06-27 14:33 回复
发帖： 3741 注册： 2001-03-28	真是有点儿玄。。。 如果做透明桥转发，数据帧在通过防火墙的时候，防火墙只是充当了交换机的功能，这样的防火墙，不要也罢。 在路由模式下进行数据包过虑难道不是基于路由功能么???如果防火墙充当了路由器的功能，在路由器后边架设防火墙简直是多此一举，配置路由器访问控制列表就能解决策略问题，要防火墙还有什么用呢？ 如果是基于状态检测的SPI技术判断，是不是就在内部策略模块上有一个挑战返回呢？ 还有NAT，路由器也能完成的功能，为啥掏钱要买防火墙？ 南阳岩冰 编辑于 2003-06-27 15:23 --- 曾为梅花醉不归。佳人挽袖乞新词。轻红遍写鸳鸯带，浓碧争斟翡翠卮。 人已老，事皆非。花前不饮泪沾衣。如今但欲关门睡，一任梅花作雪飞。
fong	发表于：2003-06-27 15:39 回复
发帖： 34 注册： 2002-08-12	1、我也经常听过交换模式下的防火墙“工作时在网络里相当于二层交换机”，但是我感觉在实现上和交换机会有所不同，我记得交换模式有用ARP代理来实现的，有些防火墙在交换模式下都要设置路由。 2、不管是交换模式还是路由模式，防火墙由于某些功能的需要，会处理网络层、传输层和应用层的数据，其状态检测等技术都相同，这些因素好象不影响两者的安全性和性能。 在安全性上，路由模式也可以设置到外界无法访问防火墙，我好象听过路由模式又比交换模式安全的，只是那个人也说不出原因。
powdera	发表于：2003-06-27 16:42 回复
发帖： 36 注册： 2002-11-16	一般的交换模式都是采用与二层交换机相同的原理，都要管理各端口的MAC表，这样才能 真正的在IP层透明，而这个“透明特性”的好处，除了自身安全性外，就是很容易安装到 网络里，可以说是想在哪装就在哪装。路由模式就不同，需要改路由表才行，如果网络里 用了动态路由，那就麻烦了。 对于自身安全性，我觉得差别不大，各家的产品如果还不能保护自身的安全，还做什么防 火墙？对了，还有对应用层的处理有点不同，如果是透明的无IP的方式，一些代理不好跑 了，需要再配IP。 TO 南阳岩冰：安全性好坏跟工作模式没有关系，即使是透明网桥模式，仍然还是状态检 测，仍然可以信息过滤。反之如果信息过滤做得不扎实，不管是网桥还是路由，或者是什 么GAP的开关，一样都起不到安全作用。至于NAT，这是防火墙必须的一项功能，是不是 有人专为NAT买一个防火墙而不买路由器我不知道，不过我知道一般的路由器的NAT做得 确实没有防火墙的好，比性能还是比支持的协议范围，都不行。CISCO的路由器怎么样， 你可以仔细跟PIX比比就知道了。
南阳岩冰	发表于：2003-06-27 16:53 回复
发帖： 3741 注册： 2001-03-28	基于第二层交换的情况下，无非就是对LLC子层进行协议过虑，而对MAC在碰撞域间处理问题上，不见得防火墙能高明到哪里去。 CISCO配置NAT是麻烦了点儿，但是也不至于那么龌龊吧，防火墙做NAT不也是基于路由模式么？在NAT问题上，我仍然支持路由器，而不会考虑用防火墙。虽然有人提出对用户群特别大的网络做NAT用防火墙产品，只不过是一种负载分担罢了。 欢迎探讨技术问题，拒绝人身攻击行为。。。。谢谢指点。。。 --- 曾为梅花醉不归。佳人挽袖乞新词。轻红遍写鸳鸯带，浓碧争斟翡翠卮。 人已老，事皆非。花前不饮泪沾衣。如今但欲关门睡，一任梅花作雪飞。
antisecurity	发表于：2003-06-27 17:07 回复
发帖： 600 注册： 2002-08-02	路由器跟防火墙至少在安全性上还是存在差别的，像思科的ACL是基于简单的包过滤，在面对高层的攻击面前就稍显脆弱了，而如果对IOS进行升级的话又会因为路由器本身的硬件配置不适合大量的包过滤运算，导致增加硬件配置的路由器成本增高，甚至超过防火墙。对客户来说并不合适，在命令行下进行大量的复杂的访问规则配置也不是一般客户可以接受的。 --- 宠辱不惊，看庭前花开花落；去留无意，望碧空云卷云舒 山阻石拦，大江毕竟东流去；雪辱霜欺，梅花依旧向阳开
hellotoo	发表于：2003-06-27 17:24 回复
发帖： 231 注册： 2002-09-23	在NETSCREEN或者其他的防火墙中，交换模式就是一个完全透明的网桥，所以无法管理DMZ区，但是在联想宣称的防火墙混合模式技术中，它的技术可以做到在桥模式的时候可以管理DMZ和内网，同时设定各种策略，同时可以做到PAT，我觉的这种更方便一些。 --- 又过了很多年，你还是一头老猪…… ╭︿︿★╮oοΟ   {/． ． /}       ((oo)   )           ︶︶︶ ---
南阳岩冰	发表于：2003-06-29 12:04 回复
发帖： 3741 注册： 2001-03-28	谁说路由器做NAT没有防火墙好？我跟丫急。。。。 在CISCO上做NAT+PAT。。。在路由器上做透明桥。。。。俺都试验过，而且非常理想。。。。测试那些防火墙，不见得谁强谁弱。。。。不知道楼上那位朋友测试的那款防火墙和路由器进行对比的，可否提出来相关测试环境和数据、方法之类的文档，以供参考对比？？？？ --- 曾为梅花醉不归。佳人挽袖乞新词。轻红遍写鸳鸯带，浓碧争斟翡翠卮。 人已老，事皆非。花前不饮泪沾衣。如今但欲关门睡，一任梅花作雪飞。
VaderYang	发表于：2003-06-29 23:34 回复
发帖： 16 注册： 2002-05-03	引用 (fong @ 2003-06-27 10:36) 两者在性能和安全性上有何区别呢？大家讨论下吧。 交换模式的防火墙其实等于从数据链路层开始解析的基于包过滤原理/状态机制的网络级防火墙； 如果防护墙支持路由模式，则即等于带有加强的过滤规则和状态机制的路由器； 这两种方式总体上而言，交换模式带来的是部署上的方便和管理上的难度；当然，如果具备附加DLC上的分析能力，这种模式可以带来一定的安全效果的提升，不过很有限； 路由模式是带来部署上的概念混淆与管理上的难度； 从企业的核心业务而言，防火墙应当是工作在应用层的Application Gateway（Proxy） 从边界安全防御而言，防火墙应当是阻击特定边界安全隐患的抗攻击壁垒（状态报过滤+Anti-DoS） 从高速网络而言，应该是IDP，no firewall
jed	发表于：2003-07-03 16:08 回复
发帖： 6 注册： 2003-07-03	我想无论透明还是路由，更主要是取决于客户的需求，包括交换和路由混合的所谓混合模式，它的产生是因为市场的需求，所谓追求技术的革新，不是为了标新立异，而是它能恰到好处地满足更多的需求，占领更多的市场，基于以上的三种模式，首先它无论何种模式下，它都应该称为防火墙，既然是防火墙，它就应该有足够的检测作用，并且缔造出一个安全的网络，思考问题我想更是因为从客户那里来讲，比如为什么要透明？也许是因为客户觉得改动IP或者网络会造成麻烦，而用路由模式在地址印射后DMZ能与外界完全隔离，为什么混合？也许是又想安全点，又想简单点。有些网络复杂的客户一定会喜欢的：），比如把内网与外网隔开，而DMZ保留公网地址，这就是一种类型。至于路由器和防火墙之区别，我想正是两者的相得益彰才使网络更显成熟。路由器带了控制列表，但它更主要是做为路由器，防火墙虽然也是一台路由器，但状态检测才是正活，这两者之间很多的比较，我真的说不出来。我宁愿想成一个低端服务器和高配置的PC的比较，像广告里说的，因为用户不同，所以选择不同，雅倩，啊去…… jed 编辑于 2003-07-03 16:11 --- -我们把每一个到地球上的人视为一个伟大的冒险者，你们勇于去地球并拓展你们的生命，在主创造世界的这个伟大冒险中完成你们的使命
Icetee	发表于：2003-07-07 01:07 回复
发帖： 26 注册： 2003-07-05	有些用户的网络已经架好了，用了很久才想起来架安全设施，那他们可能很需要透明模式来控制同网段内的安全问题。 至于路由器与防火墙，对于一些企业来讲，路由器的管理人员和安全管理人员根本就是不同的人。在路由器上实现安全控制难以进行管理。尤其是大型网络，一些骨干网络上，路由器加acs会以至少cpu利用率10%/每条acs的比率增长。这正如在大型网络里，没有任何一个网络规划人员会愿意用防火墙起路由协议。 --- 冰泪
w1w	发表于：2003-07-09 07:36 回复
发帖： 248 注册： 2002-11-21	”谁说路由器做NAT没有防火墙好？我跟丫急。。。。 在CISCO上做NAT+PAT。。。在路由器上做透明桥。。。。俺都试验过，而且非常理想。。。。测试那些防火墙，不见得谁强谁弱。。。。不知道楼上那位朋友测试的那款防火墙和路由器进行对比的，可否提出来相关测试环境和数据、方法之类的文档，以供参考对比？？？？“ 防火墙提供的NAT种类多一点，而现有路由器少一点，但本质上差别不大。巨大差别的是防火墙本质上是网络边缘设备，最好支持的应用协议多些，状态检测本身很重要，边缘路由支持状态检测或者只支持包过滤是比较困难的路由器设计选择，如果支持状态检测将以牺牲路由能力，支持的路由协议种类为代价，骨干上的路由绝不应支持状态检测，甚至不应该支持NAT。对于布设在边缘的路由器具备较强的NAT功能和防火墙功能，或者防火墙具备路由能力替换边缘路由器都是可以的。两者的融合是一种可以预见的结果。对于目前只支持包过滤的边缘路由器，其后面加装防火墙是必要，突破包过滤装置的办法很多，包过滤的不安全性已经被讨论了十年了，SEARCH GOOGLE吧 ”从高速网络而言，应该是IDP，no firewall ？？？“ IDP需要消耗很大的计算资源，实现通路上的高层应用协议的深度解析，目前的千兆IDS根本没办法线速，如何IDP就能？正好相反，对低速网络而言，IDP可以试用一下，但要密切注意网络异常流量对IDP的冲击。 w1w 编辑于 2003-07-09 08:22
fong	发表于：2003-07-09 08:36 回复
发帖： 34 注册： 2002-08-12	NAT连接时要执行写操作，不象路由转发那样只要求读操作。这方面防火墙做得好，我试过用CISCO做NAT和用Netscreen做NAT，应用程序感觉上是netscreen的快点。 fong 编辑于 2003-07-09 08:36
南阳岩冰	发表于：2003-07-09 13:12 回复
发帖： 3741 注册： 2001-03-28	NAT是考维护一个状态表，把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这样的话，对于市场上见到的这些以PC结构的防火墙来说，CPU就是一个严重瓶颈，NETSCREEN防火墙用了自己定制的硬件设备包括ASIC芯片和RISC处理器等设备紧密集成在一起，处理速度远远高于工业架构的PC，根本就是存在不公平。而且所选设备系列不同对比出来的结果当然也不同了。 --- 曾为梅花醉不归。佳人挽袖乞新词。轻红遍写鸳鸯带，浓碧争斟翡翠卮。 人已老，事皆非。花前不饮泪沾衣。如今但欲关门睡，一任梅花作雪飞。
powdera	发表于：2003-07-10 23:00 回复
发帖： 36 注册： 2002-11-16	引用 (南阳岩冰 @ 2003-07-09 13:12) NAT是考维护一个状态表，把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这样的话，对于市场上见到的这些以PC结构的防火墙来说，CPU就是一个严重瓶颈，NETSCREEN防火墙用了自己定制的硬件设备包括ASIC芯片和RISC处理器等设备紧密集成在一起，处理速度远远高于工业架构的PC，根本就是存在不公平。而且所选设备系列不同对比出来的结果当然也不同了。 NAT绝不是“地址翻译”这么简单，要有连接表或者端口分配表，否则回来的数据包不能正确翻译；还要跟踪应用协议，解析应用层的动态连接建立的动作，最简单的如FTP的数据连接的建立，复杂些的如视频、音频应用等。路由器的主处理器能力很弱，而前面提到的这些都需要主处理器完成，所以它的性能差些是很正常的，支持的应用少些也是很正常的。
powdera	发表于：2003-07-10 23:07 回复
发帖： 36 注册： 2002-11-16	引用 (南阳岩冰 @ 2003-07-09 13:12) NAT是考维护一个状态表，把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这样的话，对于市场上见到的这些以PC结构的防火墙来说，CPU就是一个严重瓶颈，NETSCREEN防火墙用了自己定制的硬件设备包括ASIC芯片和RISC处理器等设备紧密集成在一起，处理速度远远高于工业架构的PC，根本就是存在不公平。而且所选设备系列不同对比出来的结果当然也不同了。 PIX就是PC结构，性能不比NetScreen差。NetScreen的ASIC吹牛的成分大，至于RISC就更没有什么可炫耀的了。
arrow	发表于：2003-07-11 09:01 回复
发帖： 346 注册： 1999-11-16	PIX的确是PC结构，但是性能和netscreen比较。。。 能详细说一下如果比较的嘛？ --- 桃李春风一杯酒 江湖夜雨十年灯
南阳岩冰	发表于：2003-07-11 10:28 回复
发帖： 3741 注册： 2001-03-28	在CISCO65系列交换机上有一个叫6500的FWSM模块，这个家伙可是硬件模块呀。呵呵。PIX的核心虽然用了一个stripped-down/hardened OS，但是比较起来，也应该跟checkpiont比较呀。。如果拿netscreen跟FWSM进行比较。。。那就有好戏看了。 希望有人能弄出来一个。。。 --- 曾为梅花醉不归。佳人挽袖乞新词。轻红遍写鸳鸯带，浓碧争斟翡翠卮。 人已老，事皆非。花前不饮泪沾衣。如今但欲关门睡，一任梅花作雪飞。
killgo	发表于：2003-07-12 22:39 回复
发帖： 39 注册： 2002-08-18	怎么安全产品论坛来了一群搞网络的人在讨论防火墙,而且对网络对路由器理解的都很浅更不用说对防火墙的理解了. 防火墙完全可以取代路由器.但是路由器却取代不了防火墙.当你的网络需要在接入设备透明模式下做NAT的时候路由器就无法实现了.因为现在很多厂家的防火墙都支持透明模式下的NAT. 论性能上.如果路由器启动了访问控制列表,启动了NAT等非路由转发的功能后性能会下降的惊人.所有说路由器的路由转发才是它的正活. 防火墙的透明模式和路由模式对防火墙的功能及安全是没有任何影响的. CISCO的PIX系列防火墙也是OEM别人的.而且CISCO最近宣布了停止对PIS530及之前的版本的升级. 对于65上的FWSM这样IOS模块无论是功能上还是安全上是无法和CHECKPOINT比的.netscreen也没有必要跟FWSM比.如果比的话也是比性能.要知道一台65的要比一台NETSCREEN FW昂贵的多. killgo 编辑于 2003-07-12 22:40 --- 我只有两天，一天用来出生一天用来死亡<br /> 我只有两天，一天用来幻想一天用来绝望 我只有两天，一天用来想你另一天还是想你。
compaq	发表于：2003-07-21 14:23 回复
发帖： 5 注册： 2003-07-21	同意FONG和powdera的看法！           真是被搞晕了，南洋老兄挑起一场低级的争论，其实看看IDS不救很清楚了吗！！！透明模式怎么就不能完成防火墙的功能呢，仅仅是工作得更低层而已，源目的地址、端口不是照样分析吗？至于NAT，就看开发商愿不愿意下功夫了，收到的包里有MAC、IP、TCP信息，做NAT无非是维护会话的问题。
sanhui	发表于：2003-07-24 15:30 回复
发帖： 3 注册： 2003-07-24	防火墙代替不了路由器,路由器也代替不了防火墙! 路由器虽然有策略路由的功能,但仅限于包过滤,其安全性是极低的. 防火墙虽然有路由功能,但所有的防火墙都只能在IP网实现路由,即内外网都是IP网.如果两种不同的网络连接就一定要用路由器(如IP网和ATM网的连接等).
amaranten	发表于：2003-07-30 15:15 回复
发帖： 4 注册： 2003-07-30	没错，只有专业的才是最好的！
boxer2000	发表于：2003-08-01 16:19 回复
发帖： 83 注册： 2002-12-27	外行人的我也来问大家几个问题，1。为什么大家要买防火墙，2。防火墙为什么要支持透明模式，3，防火墙为什么要支持路由模式，4，有的防火墙支持路由和透明模式同时存在，为什么？告示你们，因为环境需要。 至于用路由器来替代防火墙做NAT功能，本人没有什么意见，只是想问问南阳兄弟，你不是反对把安全产品做胖吗？ --- 千江有水千江月，万里无云万里天！
dibotiger	发表于：2003-08-06 11:34 回复
发帖： 84 注册： 2002-09-23	呵呵，我来回答楼上的一个问题。 买或则卖FW，都属于社会消费。是为了大家能更好地生活。 至于技术的问题，在中国都TMD是狗屁。没必要在这里争个谁高谁低。 在中国，以前的网络模式造就了几乎90%的最终端用户都有一台CISCO的ROUTER， 呵呵，所以ROUTER曾经‘创造’了大笔的‘社会财富’，以现在的看来，你能说这些ROUTER都是必要的吗？ 所以，FW也一样，只不过在重复一样的事情而且罢了，那也是我们赖以生寸的土地。
南阳岩冰	发表于：2003-08-06 12:57 回复
发帖： 3741 注册： 2001-03-28	俺不敢反对胖或瘦的问题，而是对产品专业化发展的一种无力呐喊。 胖和瘦是市场的需求，之所以有胖瘦的区别是因为选择这种产品的人的认识有差别，是知识不够普及的原因造成的。 而专业化就不同了，专业化是基于标准的情况下的一种技术细化问题。 在量化上我们要求的全，在细化上我们要求的是专业，这样的产品才是我们拿出来放之四海而皆准的真正产品。 中国人都在呼唤品牌，可是从哪里才能体现品牌？ 利用专业化缔造精品，才能打造中国的品牌。 我们唾弃垃圾的同时，时刻关注精品的出现。 --- 曾为梅花醉不归。佳人挽袖乞新词。轻红遍写鸳鸯带，浓碧争斟翡翠卮。 人已老，事皆非。花前不饮泪沾衣。如今但欲关门睡，一任梅花作雪飞。
dibotiger	发表于：2003-08-06 17:30 回复
发帖： 84 注册： 2002-09-23	南阳岩冰 你是做技术的呢？还是做市场的？还是做国家宏观调控的？甚至还是个民族主义者？ 哈哈 如果你是做技术的，你的文字有太煽情了。
南阳岩冰	发表于：2003-08-12 08:06 回复
发帖： 3741 注册： 2001-03-28	我是个扫地的。。。 既然谈起来了，我们就再来聊聊。。。。 基于路由模式的一点疑问： 大家都知道，路由器判断数据包究竟发往何处是根据LS和DV这两个基本协议进行的，两种协议都是根据metrics的方式找到到达目的的最佳路由的。如果是基于这样的协议来工作的防火墙，它如何实现透明？ --- 曾为梅花醉不归。佳人挽袖乞新词。轻红遍写鸳鸯带，浓碧争斟翡翠卮。 人已老，事皆非。花前不饮泪沾衣。如今但欲关门睡，一任梅花作雪飞。
L0op8ack	发表于：2003-08-26 14:50 回复
发帖： 33 注册： 2003-04-22	”路由器判断数据包究竟发往何处是根据LS和DV这两个基本协议进行的“ 确切一点说，是根据它内存中的那张路由表来转发的，而LS和DV只是维护路由表的若干种方法种的两种，其他的方式还有手工添加(static)等。 ”两种协议都是根据metrics的方式找到到达目的的最佳路由的“ 即使用英语，也请专业一点，在DV的时候更多地使用metrics这个词，而LS更多用cost来描述。 ”如果是基于这样的协议来工作的防火墙，它如何实现透明？“ 如果一个设备已经基于这类协议来转发报文，那么，很明显，它已经在路由模式下工作，还谈什么透明不透明，滑天下之大稽。 路由器注重IP层的安全性，如IP网段之间的互访控制、出入报文/类型限制等， 防火墙更多注重应用层的安全性。 NAT科普性质的解释应当是为一个会话提供地址转换，而不是IP。 一个明显的例子就是： 你可以指定一个IP，对它的某些会话NAT，其他的不作转换，使用access-lsit来控制。 指不过路由器区分会话的方式为IP+[协议]+[协议端口]，这个分辨能力还是很弱的。 L0op8ack 编辑于 2003-08-26 14:57 --- ==========           落花人独立        微雨燕双飞