幾乎大部分網絡都有交換機、路由器和防火墻這三種基本設備，因此這三種設備對于網絡而言非常重要，很多人對這三種設備的使用容易弄混，其中交換機與防火墻有不少朋友問到關于他們的使用，本期我們來看一下他們的應用與區別。

　　本篇內容主要包括兩部分：

　　1、交換機與防火墻的區別

　　2、交換機與防火墻的如何對接配置上網

　　一、交換機與防火墻的區別

　　一、交換機

　　交換機的我們可以把它看作是橋接網絡的設備，在局域網(LAN)中，交換機類似于城市中的立交橋，它的主要功能是橋接其他網絡設備同 (路由器、防火墻和無線接入點)，并連接客戶端設備(計算機、服務器、網絡攝像機和IP打印機)。簡而言之，交換機可以為網絡上所有的不同設備提供一個中心連接點。

　　二、防火墻——保護網絡

　　防火墻也被稱為防護墻，它是一種位于內部網絡與外部網絡之間 的網絡安全系統，可以將內部網絡和外部網絡隔離 。通常，防火墻可以保護內部/私有局域網免受外部攻擊，并防止重要數據泄露。在沒有防火墻的情況下，路由器會在內部網絡和外部網絡之間盲目傳遞流量且沒有過濾機制，而防火墻不僅能夠監控流量，還能夠阻止未經授權的流量。

　　總之，他的作是反病毒，入侵防御，URL過濾，文件過濾，內容過濾， 應用行為控制，郵件過濾，防范常見DDoS攻擊，傳統的單包攻擊。這些三層交換機都沒有，是防火墻的特性。

　　三、防火墻與交換機的區別

　　我們在做網絡配置時可能有兩個疑問，這個也是經常在我弱電行業網VIP群中有朋友問起的，我們來看下這兩個問題。

　　1、交換機有防火墻的功能嗎? 可以當防火墻使用嗎？

　　普通的交換機是沒有的，因為防火墻功能是在三層以上進行的，所以至少要三層交換機才有可能支持防火墻功能，例如有一些三層交換機可以配置ACL(訪問控制規則，根據設定的條件對接口上的數據包進行過濾 )規則、行為控制等等部分防火墻功能。在網絡安全要求不高的情況下，完全可以忽略防火墻。

　　2、防火墻有路由功能嗎？可以當路由使用嗎？

　　這是一個比較爭議的問題，現在防火墻已具備路由器功能 ，所以很多時候可以用防火墻直接替換路由器，新建網絡直接用防火墻做出口，我們可以從防火墻的三種模式就可以了解到它與路由器之間的相似之處。

　　防火墻有部署三種工作模式：

　　路由模式(也叫網關模式 )、透明模式、旁路模式，我們來了解下它的路由模式與透明模式。

　　路由模式：

　　多用于出口部署配置NAT、路由、端口映射。此模式下防火墻所有功能均可以正常使用。

　　當防火墻位于內部網絡 和外部網絡 之間時，需要將防火墻與內部網絡、外部網絡以及DMZ 三個區域相連的接口分別配置成不同網段的IP地址，重新規劃原有的網絡拓撲，此時相當于一臺路由器。

　　透明模式：

　　多用于串連與網絡中，對兩個不通安全域做邊界防護 。此模式下端口映射功能、NAT功能、VPN功能無法使用。

　　混合模式：

　　如果防火墻既存在工作在路由模式 的接口(接口具有IP 地址)，又存在工作在透明模式的接口 (接口無IP 地址)，則防火墻工作在混合模式下。混合模式主要用于透明模式作雙機備份的情況，使用場景不多。

　　二、三層交換機與防火墻對接上網配置示例

　　我們上面了解到了防火墻與交換機的區別與功能，那么防火墻與交換機又是如何配合使用在項目中呢?這里面我們以華為配置為例。

　　一、組網網要求

　　某公司擁有多個部門且位于不同網段，各部門均有訪問Internet的需求。現要求用戶通過三層交換機和防火墻訪問外部網絡，且要求三層交換機作為用戶的網關。

　　二、三層交換機與防火墻對接上網組網圖

　　三、配置思路

　　配置交換機作為用戶的網關，通過VLANIF接口，實現跨網段用戶互訪。

　　配置交換機作為DHCP服務器，為用戶分配IP地址。

　　開啟防火墻域間安全策略，使不同域的報文可以相互轉發。

　　配置防火墻PAT轉換功能，使用戶可以訪問外部網絡。

　　四、配置步驟

　　1、配置交換機

　　# 配置連接用戶的接口和對應的VLANIF接口。

　　# 配置連接防火墻的接口和對應的VLANIF接口。

　　# 配置缺省路由。

　　# 配置DHCP服務器。

　　現在交換機配置完全。

　　2、配置防火墻

　　# 配置連接交換機的接口對應的IP地址。

　　# 配置連接公網的接口對應的IP地址。

　　# 配置缺省路由和回程路由。

　　# 配置安全策略。

　　# 配置安全策略，允許域間互訪。

　　# 配置PAT地址池，開啟允許端口地址轉換。

　　# 配置源PAT策略，實現私網指定網段訪問公網時自動進行源地址轉換。

　　經過配置后：

　　配置PC1的IP地址為192.168.1.2/24，網關為192.168.1.1;PC2的IP地址為192.168.2.2/24，網關為192.168.2.1。

　　配置外網PC的IP地址為200.0.0.1/24，網關為200.0.0.2。

　　配置完成后，PC1和PC2都可以Ping通外網的IP 200.0.0.1/24，PC1和PC2都可以訪問Internet。