防火墙部署模式

防火墙部署模式"/>

防火墙部署模式

防火墙单臂路由部署模式

如图，PC 1与PC 2通信，想在中间加上防火墙对其进行监控，并实现对两台设备的通信阻断，可以在交换机的另一个接口上连接防火墙，交换机将两台PC发送的数据引流到防火墙上，防火墙也配置下一跳到交换机，交换机依据路由表转发到目的主机，这样流量就会经过防火墙。防火墙对引流过来的数据进行安全检查，如果数据是不安全的防火墙就进行阻断

单臂路由模式的缺点在于，如果防火墙宕机，那么两台PC也不能通信了

交换机如何将PC 1发送的数据引流到防火墙：策略路由

策略路由PBR

PBR（Policy Based Routing）策略路由可以使特定用户、特定业务的流量走指定的转发路径，而其他的用户或业务流量则依旧根据路由表进行转发

策略路由可以基于报文的目的IP、源IP、源MAC、目的MAC、端口、VLAN ID等进行转发。也可以使用ACL匹配特定的报文，然后针对该ACL进行PBR部署

ACL访问控制列表技术是一种基于包过滤的流控技术。控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。

若设备部署了PBR，则被匹配的报文优先根据PBR的策略进行转发，即PBR的策略优先级高于传统路由表