1,特性介紹
防火牆作為一實際存在的物理設備,其本身也起到路由的作用,所以在為用戶安裝防火牆時,就需要考慮如何改動其原有的網絡拓撲結構或修改連接防火牆的路由表,以適應用戶的實際需要,這樣就增加了工作的復雜程度和難度。
但如果防火牆采用了透明模式,即采用無IP方式運行,用戶將不必重新設定和修改路由,防火牆就可以直接安裝和放置到網絡中使用,如交換機一樣不需要設置IP地址!
透明模式的防火牆就好像是一台網橋(非透明的防火牆好像一台路由器),網絡設備(包括主機、路由器、工作站等)和所有計算機的設置(包括IP地址和網關)無須改變。但是,防火牆透明模式與網橋存在不同,防火牆接收到的IP報文還需要(解析所有通過它的數據包)送到上層進行相關過濾等處理,通過檢查會話表或ACL規則以確定是否允許該報文通過;此外,還要完成其它防攻擊檢查。透明模式的防火牆支持ACL規則檢查、ASPF狀態過濾、防攻擊檢查、流量監控等功能。因此既增加了網絡的安全性,又降低了用戶管理的復雜程度。
當防火牆工作在透明模式(也可以稱為橋接模式)下時,所有接口都不能配置IP地址,接口所在的安全區域是二層區域,和二層區域相關接口連接的外部用戶同屬一個子網。當報文在二層區域的接口間進行轉發時,需要根據報文的MAC地址來尋找出接口,此時防火牆表現為一個透明網橋。
工作在透明模式下的防火牆在數據鏈路層連接局域網(LAN),網絡終端用戶無需為連接網絡而對設備進行特別配置,就像使用以太網交換機一樣進行網絡連接。
2,透明代理
與透明模式在稱呼上相似的透明代理,和傳統代理一樣,可以比包過濾更深層次地檢查數據信息,比如FTP包的port命令等。同時它也是一個非常快的代理,從物理上分離了連接,這可以提供更復雜的協議需要,例如帶動態端口分配的H.323,或者一個帶有不同命令端口和數據端口的連接。這樣的通信是包過濾所無法完成的。
防火牆使用透明代理技術,這些代理服務對用戶也是透明的,用戶意識不到防火牆的存在,便可完成內外網絡的通訊。當內部用戶需要使用透明代理訪問外部資源時,用戶不需要進行設置,代理服務器會建立透明的通道,讓用戶直接與外界通信,這樣極大地方便用戶的使用。一般使用代理服務器時,每個用戶需要在客戶端程序中指明要使用代理,自行設置Proxy參數(如在瀏覽器中有專門的設置來指明HTTP或FTP等的代理)。而透明代理服務,用戶不需要任何設置就可以使用代理服務器,簡化了網絡的設置過程。以下是透明代理的原理:
假設A為內部網絡客戶機,B為外部網絡服務器,C為防火牆。當A對B有連接請求時,TCP連接請求被防火牆截取並加以監控。截取后當發現連接需要使用代理服務器時,A和C之間首先建立連接,然后防火牆建立相應的代理服務通道與目標B建立連接,由此通過代理服務器建立A和目標地址B的數據傳輸途徑。從用戶的角度看,A和B的連接是直接的,而實際上A是通過代理服務器C和B建立連接的。反之,當B對A有連接請求時原理相同。由於這些連接過程是自動的,不需要客戶端手工配置代理服務器,甚至用戶根本不知道代理服務器的存在,因而對用戶來說是透明的。
代理服務器可以做到內外地址的轉換,屏蔽內部網的細節,使非法分子無法探知內部結構。代理服務器提供特殊的篩選命令,可以禁止用戶使用容易造成攻擊的不安全的命令,從根本上抵御攻擊。
防火牆使用透明代理技術,還可以使防火牆的服務端口無法探測到,也就無法對防火牆進行攻擊,大大提高了防火牆的安全性與抗攻擊性。透明代理避免了設置或使用中可能出現的錯誤,降低了防火牆使用時固有的安全風險和出錯概率,方便用戶使用。
因此,透明代理與透明模式都可以簡化防火牆的設置,提高系統安全性。但兩者之間也有本質的區別:工作於透明模式的防火牆使用了透明代理的技術,但透明代理並不是透明模式的全部,防火牆在非透明模式中也可以使用透明代理。
3,特性的優點
防火牆采用透明模式進行工作,則可以避免改變拓撲結構造成的麻煩,此時防火牆對於子網用戶和路由器來說是完全透明的,也就是說,用戶完全感覺不到防火牆的存在,類似於在網絡中像放置了一個網橋,無需修改任何已有的配置。
4,使用場合
適用於用戶不想改變現有網絡拓撲和配置,而需要增加防火牆功能的組網情況
