一、题目
防火墙的接口有哪些工作模式?
A.交换模式
B.透明模式
C.传输模式
D.路由模式
二、答案
BD
三、解析
A、交换模式
交换模式一般是二层交换机的接口工作模式,不属于防火墙典型的接口工作模式分类。防火墙虽然在部分场景下可以实现类似交换的二层转发功能,但在标准网络安全技术体系中,并不将 “交换模式” 作为防火墙接口的正式工作模式,因此该选项不属于防火墙接口的工作模式。
B、透明模式
透明模式是防火墙常见的接口工作模式之一,也常被称为二层模式。工作在该模式下的防火墙,对网络设备而言是 “不可见” 的,接口不配置 IP 地址,仅作为二层设备转发数据帧,不改变网络拓扑结构,也不需要修改原有设备的网关等配置,主要用于在不改动现有网络的前提下接入安全防护设备。
C、传输模式
传输模式是IPSec VPN 中对数据包进行加密处理的工作模式,不属于防火墙物理接口或逻辑接口的工作模式。该模式主要作用是对 IP 报文载荷进行加密,保留原 IP 头部,多用于端到端的安全通信,和防火墙接口本身的转发工作模式无关。
D、路由模式
路由模式是防火墙最基础、最常用的接口工作模式,也称为三层模式。在此模式下,防火墙的每个接口会配置独立的 IP 地址,充当网络网关设备,实现不同网段之间的路由转发、NAT 转换、访问控制策略匹配等核心功能。
四、扩展——防火墙模式
1. 路由模式(三层模式)
- 工作在网络层(三层),接口必须配置 IP 地址,相当于一台具备安全策略的路由器。
- 可以实现路由转发、NAT、ACL 访问控制、VPN、攻击防范等几乎所有防火墙功能。
- 部署时需要修改网络拓扑,客户端网关指向防火墙接口 IP。
- 典型场景:互联网出口防火墙、区域边界隔离、总部与分部互联。
2. 透明模式(二层模式)
- 工作在数据链路层(二层),接口不配置 IP 地址,对网络透明可见。
- 转发时只识别 MAC 地址,不改变数据包的 IP 头部,不影响原有路由结构。
- 部署即插即用,无需修改网关、路由配置,适合老旧网络改造。
- 功能受限:一般不支持 NAT、动态路由、部分 VPN 特性。
- 典型场景:内网服务器区防护、同一网段内安全加固、快速旁路部署审计。