防火牆的運作模式

from https://bojack.pixnet.net/blog/post/29599674

Bridge / Transparent Mode，示意圖如下

( 內部網路 IP ) ---- ( L3 Switch or Router ) ---- ( 防火牆 ) ---- ( 封包 Source IP : 內部網路 IP ) ---- ( Internet )

這種運作模式是最簡單的，把防火牆放進去時不太需要去變動既有的網路設定，它所做的就是橋接二個不同的網路，也稱之為透通模式 ( Transparent )

而防火牆本身也只要設定一個 IP 就可以了，對防火牆來說，它只要做看封包再進而做阻擋或放行的工作就好，不做找路由這件工作

NAT Mode，示意圖如下

( 內部網路 Private IP ) ---- ( L3 Switch or Router ) ---- ( 防火牆 ) ---- ( 封包 Source IP : 防火牆代轉 Public IP ) ---- ( Internet )

NAT ( Network Address Translation ) 是大家常聽到的名詞，通常在網路 IP 不夠用的時候，內部的網路就會先使用虛擬 IP

當要連上 Internet 時，就透過防火牆代轉為外部 Public IP，也得負責找路由看下一站要往哪個節點扔

而防火牆本身需要二個 IP，一個介面的 IP 是對內，另一個介面就是對外 IP

Routed Mode，示意圖如下

( 內部網路 Public IP ) ---- ( L3 Switch or Router ) ---- ( 防火牆 ) ---- ( 封包 Source IP :內部網路 Public IP ) ---- ( Internet )

其實跟 NAT Mode 很像，也很多人常分不清楚跟 NAT Mode 有什麼不同，其實還蠻簡單的

Route Mode 不會協助做 NAT 代轉的動作，等於說內部主機的封包經過防火牆出去時，封包還是保留原來內部主機的 Public IP，也得負責找路由看下一站要往哪個節點扔

而防火牆本身也是需要二個 IP，一個介面的 IP 是對內，另一個介面就是對外 IP

有些防火牆只會有 Transparent Mode 跟 NAT Mode，所以 Transparent Mode 一般來說也視為 Bridge Mode

而 NAT Mode 也視為 Routed Mode，但我覺得還是有些許差異啦，所以當防火牆只有 NAT Mode 時也可當作 Routed Mode 來用

可是如果同時有 NAT Mode 跟 Routed Mode 出現時，就得視您的網路狀態選擇適合的運作模式了