防火墻透明模式概念

防火墻作為一實際存在的物理設(shè)備，其本身也起到路由的作用，所以在為用戶安裝防火墻時，就需要考慮如何改動其原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)或修改連接防火墻的路由表，以適應(yīng)用戶的實際需要，這樣就增加了工作的復(fù)雜程度和難度。但如果防火墻采用了透明模式，即采用無IP方式運行，用戶將不必重新設(shè)定和修改路由，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)中使用，如交換機一樣不需要設(shè)置IP地址!

隨著防火墻技術(shù)的發(fā)展，安全性高、操作簡便、界面友好的防火墻逐漸成為市場熱點。在這種情況下，可以大大簡化防火墻設(shè)置、提高安全性能的透明模式和透明代理就成為衡量產(chǎn)品性能的重要指標(biāo)。于是在推薦產(chǎn)品的過程中，很多廠商往往會介紹自己的產(chǎn)品實現(xiàn)了透明模式和透明代理。那么究竟什么是透明模式和透明代理呢?他們之間又有何關(guān)系呢?

透明模式的防火墻就好像是一臺網(wǎng)橋(非透明的防火墻好像一臺路由器)，網(wǎng)絡(luò)設(shè)備(包括主機、路由器、工作站等)和所有計算機的設(shè)置(包括IP地址和網(wǎng)關(guān))無須改變，同時解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度。

而與透明模式在稱呼上相似的透明代理，和傳統(tǒng)代理一樣，可以比包過濾更深層次地檢查數(shù)據(jù)信息，比如FTP包的port命令等。同時它也是一個非?？斓拇?，從物理上分離了連接，這可以提供更復(fù)雜的協(xié)議需要，例如帶動態(tài)端口分配的H.323，或者一個帶有不同命令端口和數(shù)據(jù)端口的連接。這樣的通信是包過濾所無法完成的。

防火墻使用透明代理技術(shù)，這些代理服務(wù)對用戶也是透明的，用戶意識不到防火墻的存在，便可完成內(nèi)外網(wǎng)絡(luò)的通訊。當(dāng)內(nèi)部用戶需要使用透明代理訪問外部資源時，用戶不需要進行設(shè)置，代理服務(wù)器會建立透明的通道，讓用戶直接與外界通信，這樣極大地方便用戶的使用。

一般使用代理服務(wù)器時，每個用戶需要在客戶端程序中指明要使用代理，自行設(shè)置Proxy參數(shù)(如在瀏覽器中有專門的設(shè)置來指明HTTP或FTP等的代理)。而透明代理服務(wù)，用戶不需要任何設(shè)置就可以使用代理服務(wù)器，簡化了網(wǎng)絡(luò)的設(shè)置過程。以下是透明代理的原理:

假設(shè)A為內(nèi)部網(wǎng)絡(luò)客戶機，B為外部網(wǎng)絡(luò)服務(wù)器，C為防火墻。當(dāng)A對B有連接請求時，TCP連接請求被防火墻截取并加以監(jiān)控。截取后當(dāng)發(fā)現(xiàn)連接需要使用代理服務(wù)器時，A和C之間首先建立連接，然后防火墻建立相應(yīng)的代理服務(wù)通道與目標(biāo)B建立連接，由此通過代理服務(wù)器建立A和目標(biāo)地址B的數(shù)據(jù)傳輸途徑。從用戶的角度看，A和B的連接是直接的，而實際上A是通過代理服務(wù)器C和B建立連接的。反之，當(dāng)B對A有連接請求時原理相同。由于這些連接過程是自動的，不需要客戶端手工配置代理服務(wù)器，甚至用戶根本不知道代理服務(wù)器的存在，因而對用戶來說是透明的。

代理服務(wù)器可以做到內(nèi)外地址的轉(zhuǎn)換，屏蔽內(nèi)部網(wǎng)的細(xì)節(jié)，使非法分子無法探知內(nèi)部結(jié)構(gòu)。代理服務(wù)器提供特殊的篩選命令，可以禁止用戶使用容易造成攻擊的不安全的命令，從根本上抵御攻擊。

防火墻使用透明代理技術(shù)，還可以使防火墻的服務(wù)端口無法探測到，也就無法對防火墻進行攻擊，大大提高了防火墻的安全性與抗攻擊性。透明代理避免了設(shè)置或使用中可能出現(xiàn)的錯誤，降低了防火墻使用時固有的安全風(fēng)險和出錯概率，方便用戶使用。

因此，透明代理與透明模式都可以簡化防火墻的設(shè)置，提高系統(tǒng)安全性。但兩者之間也有本質(zhì)的區(qū)別:工作于透明模式的防火墻使用了透明代理的技術(shù)，但透明代理并不是透明模式的全部，防火墻在非透明模式中也可以使用透明代理。

將AngellPRO防火墻配置為透明工作模式，無需更改用戶網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)就能接入用戶網(wǎng)絡(luò)中，用戶網(wǎng)絡(luò)中的主機也無需更改任何網(wǎng)絡(luò)配置。透明接入極大的方便了防火墻的接入，同時并不降低網(wǎng)絡(luò)的安全性。AngellPRO防火墻也能工作在透明模式和其他模式的混合模式下，更能適應(yīng)各種不同網(wǎng)絡(luò)環(huán)境的接入。

PIX防火墻的配置模式與路由器類似，有4種管理模式:

PIXfirewall>:用戶模式

PIXfirewall#:特權(quán)模式

PIXfirewall(config)#:配置模式

monitor>:ROM監(jiān)視模式，開機按住[Esc]鍵或發(fā)送一個"Break"字符，進入監(jiān)視模式。

另外，我們在設(shè)定防火墻時有二種模式，一種模式是預(yù)設(shè)拒絕所有聯(lián)機，再一條一條加入允許的聯(lián)機;另一種是預(yù)設(shè)接受所有聯(lián)機，加入幾條拒絕的規(guī)則。如果是非常強調(diào)安全性，應(yīng)該是使用預(yù)設(shè)拒絕所有聯(lián)機，再一條一條加入我們允許的規(guī)則。