透明模式,顧名思義,首要的特點就是對用戶是透明的(Transparent),即用戶意識不到防火牆的存在。要想實現透明模式,防火牆必須在沒有 IP位址的情況下工作,不需要對其設定IP位址,用戶也不知道防火牆的IP位址。適用環境:1.伺服器必須是真實網際網路地址。2.需要保護同一子網上不同區域主機。
基本介紹
- 中文名:防火牆透明模式
- 外文名:transparent-mode
- 優點:增加了網路的安全性
- 特點:對用戶是透明
- 實現前提:在沒有 IP位址的情況下工作
簡介,概念,優點,詳細,
簡介
隨著防火牆技術的發展,安全性高、操作簡便、界面友好的防火牆逐漸成為市場熱點。在這種情況下,可以大大簡化防火牆設定、提高安全性能的透明模式和透明代理就成為衡量產品性能的重要指標。於是在推薦產品的過程中,很多廠商往往會介紹自己的產品實現了透明模式和透明代理。那么究竟什麼是透明模式和透明代理呢?他們之間又有何關係呢?
概念
防火牆作為一實際存在的物理設備,其本身也起到路由的作用,所以在為用戶安裝防火牆時,就需要考慮如何改動其原有的網路拓撲結構或修改連線防火牆的路由表,以適套用戶的實際需要,這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式,即採用無IP方式運行,用戶將不必重新設定和修改路由,防火牆就可以直接安裝和放置到網路中使用,如交換機一樣不需要設定IP位址!
優點
透明模式的防火牆就好像是一台網橋(非透明的防火牆好像一台路由器),網路設備(包括主機、路由器、工作站等)和所有計算機的設定(包括IP位址和網關)無須改變,同時解析所有通過它的數據包,既增加了網路的安全性,又降低了用戶管理的複雜程度。
詳細
而與透明模式在稱呼上相似的透明代理,和傳統代理一樣,可以比包過濾更深層次地檢查數據信息,比如FTP包的port命令等。同時它也是一個非常快的代理,從物理上分離了連線,這可以提供更複雜的協定需要,例如帶動態連線埠分配的H.323,或者一個帶有不同命令連線埠和數據連線埠的連線。這樣的通信是包過濾所無法完成的。
防火牆使用透明代理技術,這些代理服務對用戶也是透明的,用戶意識不到防火牆的存在,便可完成內外網路的通訊。當內部用戶需要使用透明代理訪問外部資源時,用戶不需要進行設定,代理伺服器會建立透明的通道,讓用戶直接與外界通信,這樣極大地方便用戶的使用。
一般使用代理伺服器時,每個用戶需要在客戶端程式中指明要使用代理,自行設定Proxy參數(如在瀏覽器中有專門的設定來指明HTTP或FTP等的代理)。而透明代理服務,用戶不需要任何設定就可以使用代理伺服器,簡化了網路的設定過程。以下是透明代理的原理:
假設A為內部網路客戶機,B為外部網路伺服器,C為防火牆。當A對B有連線請求時,TCP連線請求被防火牆截取並加以監控。截取後當發現連線需要使用代理伺服器時,A和C之間首先建立連線,然後防火牆建立相應的代理服務通道與目標B建立連線,由此通過代理伺服器建立A和目標地址B的數據傳輸途徑。從用戶的角度看,A和B的連線是直接的,而實際上A是通過代理伺服器C和B建立連線的。反之,當B對A有連線請求時原理相同。由於這些連線過程是自動的,不需要客戶端手工配置代理伺服器,甚至用戶根本不知道代理伺服器的存在,因而對用戶來說是透明的。
代理伺服器可以做到內外地址的轉換,禁止內部網的細節,使非法分子無法探知內部結構。代理伺服器提供特殊的篩選命令,可以禁止用戶使用容易造成攻擊的不安全的命令,從根本上抵禦攻擊。
防火牆使用透明代理技術,還可以使防火牆的服務連線埠無法探測到,也就無法對防火牆進行攻擊,大大提高了防火牆的安全性與抗攻擊性。透明代理避免了設定或使用中可能出現的錯誤,降低了防火牆使用時固有的安全風險和出錯機率,方便用戶使用。
因此,透明代理與透明模式都可以簡化防火牆的設定,提高系統安全性。但兩者之間也有本質的區別:工作於透明模式的防火牆使用了透明代理的技術,但透明代理並不是透明模式的全部,防火牆在非透明模式中也可以使用透明代理。
