防火墙中的静态路由

路由器

只要完成路由学习，并按自己的路由表来转发数据的，这个数据可以是IP,也可以是IPX等。它主要转发我们常说的“数据包”。而且它有多种接口，可以连接不同的物理线路，比如以太网，ATM,E1,DDN，Frame relay等等。还可以拨号，做VPN。当然了，还支持很多的高级特性。

硬件防火墙

防火墙主要是保护网络安全的，可以对进入的数据包进行检查，来自己定义的规则来处理，比如那些接受并转发，那些丢掉。具体用的技术太多了。。。做ACL了，做inspection，做TCP代理等等。

网闸

主要功能有，切断网络之间的通用协议连接；将数据包进行分解或重组为静态数据；对静态数据进行安全审查，包括网络协议检查和代码扫描等；确认后的安全数据流入内部单元；内部用户通过严格的身份认证机制获取所需数据。

交换机

我们说的交换机一般指以太网交换机，主要是根据自己学习到的MAC地址表来转发数据帧的。

当然了，真是传统的2层交换机，三层交换机有很多路由器的功能，可以跑路由协议，转发IP数据包，做ACL等等。但是支持的介质很单一，一般以太网交换机只支持以太网。。。ATM交换机支持ATM等。

清楚些了么？

　一条静态路由条目一般由3部分组成：1.目的IP地址或者叫信宿网络、子网2.子网掩码3.网关或叫下一跳。

例一中R1上设定的静态路由条目就应该为：目的IP地址192.168.1.0(代表1.x这个网段)，子网掩码255.255.255.0(因为是C类网段)，下一跳192.168.0.100。如图2，此图为TP-LINK R410中的静态路由表配置项，保存后即可生效。如果是Cisco的路由器，则在全局配置模式下键入命令：Router(config)# ip route 192.168.1.0 255.255.255.0 192.168.0.100。

注意：其中的网关IP必须是与WAN或LAN口属于同一个网段。那条默认路由写出来就是：目的IP为 0.0.0.0，子网掩码0.0.0.0，下一跳为WAN口上的默认网关，有时我们也称它为“8个0的默认路由”。另外，如果目的IP是一个具体的主机IP(如192.168.1.2)，那么路由条目应为：目的IP 192.168.1.2，子网掩码255.255.255.255，下一跳或网关192.168.0.100。

使用此种连接方式，还可以方便的使用路由器内置的访问控制列表来设置LAN 2下主机的访问权限，这对企业用户而言还是很方便的。宽带路由器中的“防火墙设置”其实就是一个简化的访问控制列表，即ACL- Access Control Lists。如：希望局域网LAN 2中IP地址为192.168.1.7的计算机不能收发邮件，IP地址为192.168.1.8的计算机不能访问企业内部位于LAN 1的ERP服务器(假设其IP为192.168.0.10)，对局域网中的其它计算机则不做任何限制，这时您需要指定如下的数据包过滤表。

天融信添加单个静态路由方法如下：

天融信防火墙开放端口是在服务中的协议相对应的。这个防火墙的特定是面向对象。

先定义对象再调用对象进行实施。

比如ETH1是WAN口，ETH2是LAN口你要通过ETH1网卡中的8888端口进行telnet访问，先定义服务属性：

“资源管理”“服务”“自定义服务”，点击“添加”可以添加单个端口或范围，注意单个端口只填起始端口。

类型（telnet）,服务名称（自已定义的服务），端口:8888。

调用服务：

“系统管理”“配置”“开放服务”，点击添加，常用服务有WEBUI(即WEB管理)pingTelnet等（请根据管理需要添加相应管理服务）。

服务名称:（自己定义的服务），控制区域:（内网），控制地址：ETH1。

这样你就可以对ETH1接口的8888端口开放了telnet服务。

注意：一般防火墙都会作NAT转换，端口映射。那么你要在做端口映射时要指出这个WAN口（ETH1）的服务名称，指定服务名称就等于开放相应端口。

---