等保测评：交换机与防火墙的区别，交换机与防火墙如何配置上网

请点击上面　　一键关注！

内容来源：弱电行业网

几乎大部分网络都有交换机、路由器和防火墙这三种基本设备，因此这三种设备对于网络而言非常重要，很多人对这三种设备的使用容易弄混，其中交换机与防火墙有不少朋友问到关于他们的使用，本期我们来看一下他们的应用与区别。

本篇内容主要包括两部分：

1、交换机与防火墙的区别

2、交换机与防火墙的如何对接配置上网

一、交换机

交换机的我们可以把它看作是桥接网络的设备，在局域网（LAN）中，交换机类似于城市中的立交桥，它的主要功能是桥接其他网络设备同（路由器、防火墙和无线接入点），并连接客户端设备（计算机、服务器、网络摄像机和IP打印机）。简而言之，交换机可以为网络上所有的不同设备提供一个中心连接点。

二、防火墙——保护网络

防火墙也被称为防护墙，它是一种位于内部网络与外部网络之间的网络安全系统，可以将内部网络和外部网络隔离。通常，防火墙可以保护内部/私有局域网免受外部攻击，并防止重要数据泄露。在没有防火墙的情况下，路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制，而防火墙不仅能够监控流量，还能够阻止未经授权的流量。

总之，他的作是反病毒，入侵防御，URL过滤，文件过滤，内容过滤，应用行为控制，邮件过滤，防范常见DDoS攻击，传统的单包攻击。这些三层交换机都没有，是防火墙的特性。

三、防火墙与交换机的区别

我们在做网络配置时可能有两个疑问，这个也是经常在我弱电行业网VIP群中有朋友问起的，我们来看下这两个问题。

1、交换机有防火墙的功能吗? 可以当防火墙使用吗？

普通的交换机是没有的，因为防火墙功能是在三层以上进行的，所以至少要三层交换机才有可能支持防火墙功能，例如有一些三层交换机可以配置ACL（访问控制规则，根据设定的条件对接口上的数据包进行过滤）规则、行为控制等等部分防火墙功能。在网络安全要求不高的情况下，完全可以忽略防火墙。

2、防火墙有路由功能吗？可以当路由使用吗？

这是一个比较争议的问题，现在防火墙已具备路由器功能，所以很多时候可以用防火墙直接替换路由器，新建网络直接用防火墙做出口，我们可以从防火墙的三种模式就可以了解到它与路由器之间的相似之处。

防火墙有部署三种工作模式：

路由模式（也叫网关模式）、透明模式、旁路模式，我们来了解下它的路由模式与透明模式。

路由模式：

多用于出口部署配置NAT、路由、端口映射。此模式下防火墙所有功能均可以正常使用。

当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器。

透明模式：

多用于串连与网络中，对两个不通安全域做边界防护。此模式下端口映射功能、NAT功能、VPN功能无法使用。

混合模式：

如果防火墙既存在工作在路由模式的接口（接口具有IP 地址），又存在工作在透明模式的接口（接口无IP 地址），则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，使用场景不多。

我们上面了解到了防火墙与交换机的区别与功能，那么防火墙与交换机又是如何配合使用在项目中呢？这里面我们以华为配置为例。

一、组网网要求

某公司拥有多个部门且位于不同网段，各部门均有访问Internet的需求。现要求用户通过三层交换机和防火墙访问外部网络，且要求三层交换机作为用户的网关。

二、三层交换机与防火墙对接上网组网图 

三、配置思路

1. 配置交换机作为用户的网关，通过VLANIF接口，实现跨网段用户互访。

2. 配置交换机作为DHCP服务器，为用户分配IP地址。

3. 开启防火墙域间安全策略，使不同域的报文可以相互转发。

4. 配置防火墙PAT转换功能，使用户可以访问外部网络。

四、配置步骤

1、配置交换机

# 配置连接用户的接口和对应的VLANIF接口。

# 配置连接防火墙的接口和对应的VLANIF接口。

# 配置缺省路由。

# 配置DHCP服务器。

现在交换机配置完全。

2、配置防火墙

# 配置连接交换机的接口对应的IP地址。

# 配置连接公网的接口对应的IP地址。

# 配置缺省路由和回程路由。

# 配置安全策略。

# 配置安全策略，允许域间互访。

# 配置PAT地址池，开启允许端口地址转换。

# 配置源PAT策略，实现私网指定网段访问公网时自动进行源地址转换。

经过配置后：

配置PC1的IP地址为192.168.1.2/24，网关为192.168.1.1；PC2的IP地址为192.168.2.2/24，网关为192.168.2.1。

配置外网PC的IP地址为200.0.0.1/24，网关为200.0.0.2。

配置完成后，PC1和PC2都可以Ping通外网的IP 200.0.0.1/24，PC1和PC2都可以访问Internet。