没有MAC地址的防火墙

Question 1

如果防火墙的唯一目的是检查和丢弃数据包，那么它就没有理由拥有 MAC 地址。我的意思是，MAC 地址的全部意义在于为设备提供一个本地（唯一）标识符，其他设备可以使用该标识符与其通信。因为实际上，它们只想通信通过它，实际上并不需要。

就实现细节而言，最好的办法是假装它不存在（这可能违反标准）。例如，拿一个数据包。检查它，如果它看起来不错，则不加修改地转发它。如果它看起来不好，就把它丢弃，就像什么都没发生一样。

Answer

如果防火墙的唯一目的是检查和丢弃数据包，那么它就没有理由拥有 MAC 地址。我的意思是，MAC 地址的全部意义在于为设备提供一个本地（唯一）标识符，其他设备可以使用该标识符与其通信。因为实际上，它们只想通信通过它，实际上并不需要。

就实现细节而言，最好的办法是假装它不存在（这可能违反标准）。例如，拿一个数据包。检查它，如果它看起来不错，则不加修改地转发它。如果它看起来不好，就把它丢弃，就像什么都没发生一样。

Question 2

如何做到这一点很容易回答。如果您需要通过 IP 作为目的地可访问，则只需要 MAC。不需要执行回显数据的简单任务（如简单的集线器或非托管交换机）。

作为防火墙，您不需要回显/转发所有内容，只需回显/转发打开的端口。

Answer

如何做到这一点很容易回答。如果您需要通过 IP 作为目的地可访问，则只需要 MAC。不需要执行回显数据的简单任务（如简单的集线器或非托管交换机）。

作为防火墙，您不需要回显/转发所有内容，只需回显/转发打开的端口。

Question 3

主机的接口可以分组到“桥接器”中 - 相当于以太网集线器，它只是将一个接口上的所有传入内容重新转换到其他接口。所有接口都以所谓的“混杂”模式工作，并接收每个传入数据包，而不管其目标 MAC/IP 地址是什么。带有桥接器和数据包过滤器的主机称为过滤桥接器。

在 VLAN 出现之前，过滤网桥是一种常见的做法。它们允许以各种方式分离子网，并使用复杂的规则集过滤流量。事实上，具有 VLAN 的现代交换机是相同的过滤网桥，内部逻辑相同。

桥接混合接口不会通过 ARP 广播其 MAC/IP，因此主机成为“隐形主机”，不可见、难以察觉且无法访问，只能通过控制台进行管理。

Answer

主机的接口可以分组到“桥接器”中 - 相当于以太网集线器，它只是将一个接口上的所有传入内容重新转换到其他接口。所有接口都以所谓的“混杂”模式工作，并接收每个传入数据包，而不管其目标 MAC/IP 地址是什么。带有桥接器和数据包过滤器的主机称为过滤桥接器。

在 VLAN 出现之前，过滤网桥是一种常见的做法。它们允许以各种方式分离子网，并使用复杂的规则集过滤流量。事实上，具有 VLAN 的现代交换机是相同的过滤网桥，内部逻辑相同。

桥接混合接口不会通过 ARP 广播其 MAC/IP，因此主机成为“隐形主机”，不可见、难以察觉且无法访问，只能通过控制台进行管理。

相关内容